宏指令仍是恶意软件和有效载荷传播的主要载体。事实上,恶意软件作者正转向利用MS Office和脚本威胁的攻击手段。根据Avira Protection Labs发布的《2020年第二季度恶意软件威胁报告:统计数据与趋势》,脚本类检测数量显著增长(73.55%),基于Office的宏指令检测量也大幅上升(30.43%)。(1)威胁行为者采用多种技术隐藏恶意宏,例如规避式VBA和VBA项目锁定,使宏代码"不可见"。Deep Content Disarm and Reconstruction 技术Deep Content Disarm and Reconstruction Deep CDR™技术)实现中和。该技术的有效性已在我们之前的博客文章中阐述。 本文将展示Deep CDR™技术如何防范另一种高级恶意软件规避技术——VBA践踏攻击。
Vesselin Bontchev 博士在其 VBAp-code 反汇编器介绍中说明了 VBA stomping。问题在于,VBA stomping 破坏了嵌入 Office 文件中的原始 VBA 源代码,并将其编译成 p 代码(堆栈机的伪代码),执行该代码就可以传播恶意软件。在这种情况下,基于 VBA 源代码的恶意软件文档 (maldoc) 检测被绕过,恶意有效载荷被成功发送。以下是 VBA 踩踏的详细示例。
利用 VBA 踩踏技术,原始宏脚本被修改为显示一条简单的信息。这样,反恶意软件程序就无法检测到文件中可疑的活动内容。不过,宏仍可执行(通过 p 代码),并要求执行命令行。
Deep CDR™ 技术可保护您免受文件中隐藏的所有恶意内容侵害。它能清除文档中的宏源代码和字节码。我们的先进威胁防护技术不依赖检测机制,而是将进入网络的所有文件视为可疑对象,通过仅保留合法组件对每个文件进行净化与重建。无论文档中如何隐藏活动内容(如宏、表单字段、超链接等),这些内容都将在文件发送给用户前被彻底清除。 观看下方演示视频,了解深度CDR™技术如何有效应对VBA覆盖攻击场景。
Deep CDR™ 技术确保进入您组织的每个文件均被彻底清除威胁。这有助于防范零日攻击,阻止具有规避能力的恶意软件侵入您的组织。我们的解决方案支持对100多种常见文件类型进行安全处理,包括PDF、Microsoft Office文件、HTML、图像文件,以及诸如JTD和HWP等众多区域性特定格式。
请联系我们,进一步了解OPSWAT的先进技术,保护您的组织免受日益复杂的攻击。
参考资料
(1) "恶意软件威胁报告:2020 年第二季度统计数据和趋势 | Avira 博客"。2020.Avira 博客 。https://www.avira.com/en/blog/....
