Macro vẫn là phương thức phổ biến nhất để phát tán phần mềm độc hại và tải trọng. Trên thực tế, các tác giả phần mềm độc hại đang chuyển sang các phương pháp tấn công tận dụng MS Office và các mối đe dọa dựa trên kịch bản. Theo Báo cáo về Mối đe dọa Phần mềm độc hại: Thống kê và Xu hướng Quý 2 năm 2020 của Avira Protection Labs, đã có sự gia tăng đáng kể về số lượng phát hiện dựa trên kịch bản (73,55%) và phát hiện macro dựa trên Office (30,43%). (1) Các tác nhân đe dọa sử dụng nhiều kỹ thuật khác nhau để che giấu các macro độc hại, chẳng hạn như VBA né tránh và khóa dự án VBA khiến mã macro 'không thể xem được'. Những mối đe dọa này có thể bị vô hiệu hóa bởi OPSWAT Deep Content Disarm and Reconstruction (Công nghệ Deep CDR™). Hiệu quả của công nghệ Deep CDR™ đã được mô tả trong bài đăng trên blog trước đây của chúng tôi. Trong bài đăng này, chúng tôi sẽ trình bày cách công nghệ Deep CDR™ ngăn chặn một kỹ thuật né tránh phần mềm độc hại tiên tiến khác gọi là VBA Stomping.
Việc dậm chân VBA đã được minh họa bởi Tiến sĩ Vesselin Bontchev trong phần giới thiệu bộ tháo rời mã p VBA của mình. Vấn đề là VBA dậm chân phá hủy mã nguồn VBA gốc được nhúng trong tệp Office và biên dịch nó thành mã p (mã giả cho máy ngăn xếp), có thể được thực thi để phân phối mã độc. Trong trường hợp này, phát hiện tài liệu mã độc (maldoc) dựa trên mã nguồn VBA được bỏ qua và tải trọng độc hại được phân phối thành công. Dưới đây là một ví dụ chi tiết về dậm chân VBA.
Sử dụng kỹ thuật dậm chân VBA, tập lệnh macro gốc được thay đổi để hiển thị một thông báo đơn giản. Điều này ngăn các chương trình chống mã độc phát hiện nội dung hoạt động đáng ngờ trong tệp. Tuy nhiên, macro vẫn có thể thực thi (thông qua mã p) và yêu cầu thực thi dòng lệnh.
Công nghệ Deep CDR™ bảo vệ bạn khỏi mọi nội dung độc hại ẩn trong các tệp tin. Nó loại bỏ cả mã nguồn macro và mã p-code trong tài liệu. Công nghệ ngăn chặn mối đe dọa tiên tiến của chúng tôi không dựa vào việc phát hiện. Nó giả định tất cả các tệp tin đi vào mạng của bạn đều đáng ngờ và sẽ làm sạch cũng như tái cấu trúc mọi tệp tin chỉ với các thành phần hợp pháp. Bất kể nội dung hoạt động (macro, trường biểu mẫu, siêu liên kết, v.v.) được ẩn giấu trong tài liệu như thế nào, nó sẽ bị loại bỏ trước khi tệp tin được gửi đến người dùng. Xem video minh họa bên dưới để hiểu cách Công nghệ Deep CDR™ hoạt động hiệu quả trong trường hợp tấn công VBA Stomping.
Công nghệ Deep CDR™ đảm bảo mọi tệp tin đi vào tổ chức của bạn đều được xử lý an toàn. Điều này giúp ngăn chặn các cuộc tấn công zero-day và chặn đứng phần mềm độc hại khó phát hiện xâm nhập vào tổ chức của bạn. Giải pháp của chúng tôi hỗ trợ xử lý hơn 100 loại tệp tin phổ biến , bao gồm PDF, tệp tin Microsoft Office, HTML, tệp tin hình ảnh và nhiều định dạng dành riêng cho từng khu vực như JTD và HWP.
Liên hệ với chúng tôi để hiểu thêm về OPSWATCác công nghệ tiên tiến và để bảo vệ tổ chức của bạn khỏi các cuộc tấn công ngày càng tinh vi.
Tham khảo:
(1) "Báo cáo mối đe dọa mã độc: Thống kê và xu hướng quý 2 năm 2020 | Blog Avira". 2020. Blog Avira. https://www.avira.com/en/blog/....
