Được xuất bản lần đầu vào Tháng Sáu 05, 2020.
Phần mềm độc hại không ngừng phát triển và các kỹ thuật trốn tránh phần mềm độc hại cũng vậy. Trong một nghiên cứu được thực hiện bởi Đại học Genoa phân tích 180.000 mẫu phần mềm độc hại Windows, có tới 40% trong số đó sử dụng ít nhất một kỹ thuật lẩn tránh. Trong bài đăng trên blog này, chúng tôi khám phá hai phương pháp được các tác nhân đe dọa sử dụng để vượt qua phần mềm chống vi-rút (AV).
Chúng ta sẽ xem xét một mẫu phần mềm độc hại để tìm hiểu cách kẻ tấn công sử dụng các tệp Excel dường như vô hại để lây nhiễm sang các tổ chức. Tệp chứa macro tải xuống tệp stenography và giải mã nó để trích xuất tải trọng độc hại.
Mật khẩu VelvetSweatshop
Mật khẩu mặc định "VelvetSweatshop" là một lỗ hổng cũ được giới thiệu lần đầu tiên vào năm 2012. Gần đây nhất nó được sử dụng để phát tán phần mềm độc hại LimeRAT. Tội phạm mạng đã chọn chiến thuật này vì Microsoft Excel có khả năng sử dụng mật khẩu mặc định, nhúng VelvetSweatshop để giải mã tệp, mở tệp ở chế độ chỉ đọc mà không cần mật khẩu và đồng thời chạy macro trên bo mạch.
Bằng cách mã hóa tệp mẫu bằng mật khẩu VelvetSweatshop, một số công cụ quét chống vi-rút đã bị cản trở phát hiện mã độc. Trong các thử nghiệm của chúng tôi, chỉ có 15 trong số 40 AV tìm thấy mối đe dọa.
Macro được bảo vệ bằng mật khẩu
Cũng giống như bảo vệ trang tính bằng mật khẩu, Microsoft Excel cho phép người dùng khóa macro trong Excel chống lại việc xem. Tuy nhiên, tính năng này không mã hóa các macro.
Khi chúng tôi sử dụng tính năng này để ẩn macro phần mềm độc hại mẫu, điều này cũng khiến việc phát hiện một số AV kém hiệu quả hơn. Ba công cụ AV, đã phát hiện thành công mẫu phần mềm độc hại, không thể thấy mối đe dọa khi macro được bảo vệ bằng mật khẩu.
Điều gì xảy ra nếu chúng ta kết hợp hai chiến thuật?
Khi áp dụng cả Mật khẩu VelvetSweatshop và tính năng Macro được bảo vệ bằng mật khẩu để giúp phát hiện bỏ qua mẫu độc hại, chúng tôi đã chứng kiến kết quả quét giảm đáng kể. Chỉ có 13 trong số 40 động cơ AV có thể phát hiện ra mối đe dọa.
Giải pháp để ngăn chặn các kỹ thuật trốn tránh phần mềm độc hại là gì?
Các tác nhân đe dọa luôn tìm kiếm các kỹ thuật mới để ẩn các tệp độc hại của họ khỏi hệ thống chống vi-rút. Một trong những phương pháp hay nhất để đánh bại phần mềm độc hại lẩn tránh là vô hiệu hóa tất cả các đối tượng độc hại tiềm ẩn trong các tệp được chuyển vào hệ thống của bạn. Ngay cả một macro vô hại cũng có thể trở thành một lỗ hổng sau này.
OPSWAT Deep Content Disarm and Reconstruction ( Deep CDR ) xóa tất cả nội dung hoạt động được nhúng trong các tệp (bao gồm macro, đối tượng OLE, siêu liên kết, v.v.) và xây dựng lại các tệp chỉ bằng các thành phần hợp lệ. Ngoài ra, Deep CDR cho phép bạn điều tra macro được bảo vệ bằng mật khẩu mà không cần biết mật khẩu. Công nghệ hàng đầu trong ngành này từ OPSWAT có hiệu quả cao trong việc ngăn chặn các mối đe dọa đã biết và chưa biết, bao gồm các cuộc tấn công có mục tiêu vào ngày thứ 0 và phần mềm độc hại ẩn nấp tiên tiến.
Sau khi mẫu được Làm sạch bằng Deep CDR , bây giờ chúng ta có một tệp tin không có mối đe dọa với đầy đủ chức năng.
Nếu hoạt động kinh doanh của bạn cần sử dụng macro, điều quan trọng là phải quét đồng thời mọi tệp bằng nhiều AV để tăng khả năng phát hiện mối đe dọa. OPSWAT tiên phong trong khái niệm Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý , quét các tệp bằng hơn 30 trình quét phòng chống mã độc thương mại. Kết hợp nhiều cơ chế và kỹ thuật phân tích khác nhau, bao gồm Chữ ký, Heuristics, AI/ML và Giả lập, công nghệ Công nghệ OPSWAT nâng cao nhận dạng mã độc với đa ứng dụng xử lý giúp bạn tối đa hóa tỷ lệ phát hiện với Tổng chi phí sở hữu (TCO) thấp.
Tìm hiểu thêm về Deep CDR Và Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý hoặc trao đổi với chuyên gia kỹ thuật OPSWAT để tìm ra giải pháp bảo mật tốt nhất nhằm ngăn chặn phần mềm độc hại zero-day và phần mềm độc hại tiên tiến.
