As macros continuam a ser o vetor mais popular para a entrega de malware e de carga útil. De facto, os autores de malware estão a mudar para metodologias de ataque que tiram partido do MS Office e de ameaças baseadas em scripts. Houve um aumento significativo nas detecções baseadas em scripts (73,55%) e nas detecções de macros baseadas no Office (30,43%), de acordo com o Malware Threat Report: Q2 2020 Statistics and Trends by Avira Protection Labs.(1) Várias técnicas são usadas por agentes de ameaças para ocultar macros maliciosas, como VBA evasivo e projeto VBA bloqueado, o que torna o código da macro "invisível". Estas ameaças podem ser neutralizadas pela tecnologia OPSWAT Deep Content Disarm and Reconstruction (Deep CDR). A eficácia do Deep CDR é descrita no nosso blogue anterior. Neste blogue, mostraremos como o Deep CDR impede outra técnica avançada de evasão de malware chamada VBA Stomping.
O VBA stomping foi ilustrado pelo Dr. Vesselin Bontchev na sua introdução ao VBA p-code disassembler. O problema é que o VBA stomping destrói o código-fonte VBA original incorporado num ficheiro do Office e compila-o num código p (um pseudo-código para uma máquina de pilha), que pode ser executado para distribuir malware. Neste caso, a deteção de documentos maliciosos (maldoc) baseada no código fonte VBA é contornada e o payload malicioso é entregue com sucesso. Aqui está um exemplo pormenorizado de "stomping" VBA.
Usando a técnica VBA stomping, o script de macro original é alterado para mostrar uma mensagem simples. Isto impede que os programas anti-malware detectem o conteúdo ativo suspeito no ficheiro. No entanto, a macro continua a ser executável (através do código p) e pede para executar a linha de comando.
Deep CDR protege-o de todo o conteúdo malicioso escondido nos ficheiros. Remove tanto o código-fonte de macro como o código p dentro dos documentos. A nossa tecnologia avançada de prevenção de ameaças não se baseia na deteção. Assume que todos os ficheiros que entram na sua rede são suspeitos e higieniza e reconstrói cada ficheiro apenas com os seus componentes legítimos. Independentemente da forma como o conteúdo ativo (macro, campo de formulário, hiperligação, etc.) está oculto num documento, é removido antes de o ficheiro ser enviado aos utilizadores. Veja o vídeo de demonstração abaixo para compreender como o Deep CDR é eficaz no cenário do VBA Stomping.
Deep CDR garante que todos os ficheiros que entram na sua organização são tornados inofensivos. Isto ajuda a evitar ataques de dia zero e impede a entrada de malware evasivo na sua organização. A nossa solução suporta a higienização de mais de 100 tipos de ficheiros comuns, incluindo PDF, ficheiros do Microsoft Office, HTML, ficheiros de imagem e muitos formatos específicos de cada região, como JTD e HWP.
Contacte-nos para saber mais sobre as tecnologias avançadas do OPSWATe para proteger a sua organização contra ataques cada vez mais sofisticados.
Referência:
(1) "Relatório de Ameaças de Malware: Estatísticas e tendências do segundo trimestre de 2020 | Blog da Avira". 2020. Blogue da Avira. https://www.avira.com/en/blog/....
