As macros continuam a ser o vetor mais popular para a distribuição de malware e cargas maliciosas. Na verdade, os autores de malware estão a adotar metodologias de ataque que tiram partido do MS Office e de ameaças baseadas em scripts. Verificou-se um aumento significativo nas deteções baseadas em scripts (73,55 %) e nas deteções de macros do Office (30,43 %), de acordo com o Relatório sobre Ameaças de Malware: Estatísticas e Tendências do 2.º Trimestre de 2020, elaborado pela Avira Protection Labs.(1) Várias técnicas são utilizadas por agentes de ameaças para ocultar macros maliciosas, tais como VBA evasivo e projetos VBA bloqueados, o que torna o código da macro «invisível». Estas ameaças podem ser neutralizadas pela tecnologia OPSWAT Deep Content Disarm and Reconstruction Deep CDR™). A eficácia da tecnologia Deep CDR™ é descrita na nossa publicação anterior no blogue. Neste blogue, iremos mostrar como a tecnologia Deep CDR™ impede outra técnica avançada de evasão de malware chamada VBA Stomping.
O VBA stomping foi ilustrado pelo Dr. Vesselin Bontchev na sua introdução ao VBA p-code disassembler. O problema é que o VBA stomping destrói o código-fonte VBA original incorporado num ficheiro do Office e compila-o num código p (um pseudo-código para uma máquina de pilha), que pode ser executado para distribuir malware. Neste caso, a deteção de documentos maliciosos (maldoc) baseada no código fonte VBA é contornada e o payload malicioso é entregue com sucesso. Aqui está um exemplo pormenorizado de "stomping" VBA.
Usando a técnica VBA stomping, o script de macro original é alterado para mostrar uma mensagem simples. Isto impede que os programas anti-malware detectem o conteúdo ativo suspeito no ficheiro. No entanto, a macro continua a ser executável (através do código p) e pede para executar a linha de comando.
A tecnologia Deep CDR™ protege-o contra todo o conteúdo malicioso oculto nos ficheiros. Remove tanto o código-fonte das macros como o p-code dos documentos. A nossa tecnologia avançada de prevenção de ameaças não se baseia na deteção. Parte do princípio de que todos os ficheiros que entram na sua rede são suspeitos e, por isso, purifica e reconstrói cada ficheiro utilizando apenas os seus componentes legítimos. Independentemente da forma como o conteúdo ativo (macros, campos de formulário, hiperligações, etc.) esteja oculto num documento, este é removido antes de o ficheiro ser enviado aos utilizadores. Veja o vídeo de demonstração abaixo para compreender como a tecnologia Deep CDR™ é eficaz no cenário de VBA Stomping.
A tecnologia Deep CDR™ garante que todos os ficheiros que entram na sua organização sejam neutralizados. Isto ajuda a prevenir ataques de dia zero e impede que malware evasivo entre na sua organização. A nossa solução suporta a higienização de mais de 100 tipos de ficheiros comuns, incluindo PDF, ficheiros do Microsoft Office, HTML, ficheiros de imagem e muitos formatos específicos de cada região, como JTD e HWP.
Contacte-nos para saber mais sobre as tecnologias avançadas do OPSWATe para proteger a sua organização contra ataques cada vez mais sofisticados.
Referência:
(1) "Relatório de Ameaças de Malware: Estatísticas e tendências do segundo trimestre de 2020 | Blog da Avira". 2020. Blogue da Avira. https://www.avira.com/en/blog/....
