Macro vẫn là vectơ phổ biến nhất để phân phối phần mềm độc hại và tải trọng. Trên thực tế, tác giả phần mềm độc hại đang chuyển sang các phương pháp tấn công tận dụng MS Office và các mối đe dọa dựa trên tập lệnh. Theo Báo cáo về mối đe dọa phần mềm độc hại: Thống kê và xu hướng quý 2 năm 2020 của Avira Protection Labs, đã có sự gia tăng đáng kể trong các phát hiện dựa trên tập lệnh (73,55%) và phát hiện macro dựa trên Office (30,43%). (1) Các tác nhân đe dọa sử dụng nhiều kỹ thuật khác nhau để ẩn các macro độc hại, chẳng hạn như VBA ẩn và VBA project locked khiến mã macro 'không thể xem được'. Các mối đe dọa này có thể được vô hiệu hóa bằng OPSWAT Deep Content Disarm and Reconstruction ( Deep CDR ) công nghệ. Deep CDR hiệu quả được mô tả trong bài đăng trên blog trước của chúng tôi. Trong blog này, chúng tôi sẽ chỉ ra cách Deep CDR ngăn chặn một kỹ thuật trốn tránh phần mềm độc hại tiên tiến khác có tên là VBA Stomping.
Việc dậm chân VBA đã được minh họa bởi Tiến sĩ Vesselin Bontchev trong phần giới thiệu bộ tháo rời mã p VBA của mình. Vấn đề là VBA dậm chân phá hủy mã nguồn VBA gốc được nhúng trong tệp Office và biên dịch nó thành mã p (mã giả cho máy ngăn xếp), có thể được thực thi để phân phối phần mềm độc hại. Trong trường hợp này, phát hiện tài liệu phần mềm độc hại (maldoc) dựa trên mã nguồn VBA được bỏ qua và tải trọng độc hại được phân phối thành công. Dưới đây là một ví dụ chi tiết về dậm chân VBA.
Sử dụng kỹ thuật dậm chân VBA, tập lệnh macro gốc được thay đổi để hiển thị một thông báo đơn giản. Điều này ngăn các chương trình chống phần mềm độc hại phát hiện nội dung hoạt động đáng ngờ trong tệp. Tuy nhiên, macro vẫn có thể thực thi (thông qua mã p) và yêu cầu thực thi dòng lệnh.
Deep CDR bảo vệ bạn khỏi mọi nội dung độc hại ẩn trong các tệp. Nó xóa cả mã nguồn macro và mã p trong tài liệu. Công nghệ phòng ngừa mối đe dọa tiên tiến của chúng tôi không dựa vào phát hiện. Nó giả định rằng tất cả các tệp nhập vào mạng của bạn đều đáng ngờ và vệ sinh và tái tạo mọi tệp chỉ với các thành phần hợp lệ của nó. Bất kể nội dung đang hoạt động (macro, trường biểu mẫu, siêu liên kết, v.v.) được ẩn trong tài liệu như thế nào, nó đều bị xóa trước khi tệp được gửi đến người dùng. Xem video demo bên dưới để hiểu cách Deep CDR có hiệu quả trong tình huống VBA Stomping.
Deep CDR đảm bảo mọi tệp nhập vào tổ chức của bạn đều vô hại. Điều này giúp ngăn chặn các cuộc tấn công zero-day và ngăn chặn phần mềm độc hại xâm nhập vào tổ chức của bạn. Giải pháp của chúng tôi hỗ trợ Làm sạch cho hơn 100 loại tệp phổ biến , bao gồm PDF, tệp Microsoft Office, HTML, tệp hình ảnh và nhiều định dạng cụ thể theo khu vực như JTD và HWP.
Liên hệ với chúng tôi để hiểu thêm về OPSWATCác công nghệ tiên tiến và để bảo vệ tổ chức của bạn khỏi các cuộc tấn công ngày càng tinh vi.
Tham khảo:
(1) "Báo cáo mối đe dọa phần mềm độc hại: Thống kê và xu hướng quý 2 năm 2020 | Blog Avira". 2020. Blog Avira. https://www.avira.com/en/blog/....
