Le macro rimangono il vettore più popolare per l'invio di malware e payload. In effetti, gli autori di malware stanno passando a metodologie di attacco che sfruttano MS Office e minacce basate su script. Secondo il Malware Threat Report, è stato registrato un aumento significativo dei rilevamenti basati su script (73,55%) e macro basate su Office (30,43%): Q2 2020 Statistics and Trends di Avira Protection Labs.(1) Gli attori delle minacce utilizzano diverse tecniche per nascondere le macro dannose, come ad esempio progetti VBA e VBA evasivi bloccati che rendono il codice macro "non visibile". Queste minacce possono essere neutralizzate dalla tecnologia OPSWAT Deep Content Disarm and Reconstruction (Deep CDR). L'efficacia di Deep CDR è descritta nel nostro precedente blog. In questo blog, mostreremo come Deep CDR previene un'altra tecnica avanzata di evasione del malware, chiamata VBA Stomping.
Il VBA stomping è stato illustrato dal Dr. Vesselin Bontchev nella sua introduzione al disassemblatore di codice pBA. Il problema è che il VBA stomping distrugge il codice sorgente VBA originale incorporato in un file Office e lo compila in un p-code (uno pseudo-codice per una macchina a stack), che può essere eseguito per fornire malware. In questo caso, il rilevamento dei documenti malware (maldoc) basato sul codice sorgente VBA viene aggirato e il payload dannoso viene consegnato con successo. Ecco un esempio dettagliato di VBA stomping.
Utilizzando la tecnica VBA stomping, lo script macro originale viene alterato per mostrare un semplice messaggio. Questo impedisce ai programmi anti-malware di rilevare il contenuto attivo sospetto del file. Tuttavia, la macro è ancora eseguibile (tramite il codice p) e richiede l'esecuzione della riga di comando.
Deep CDR protegge da tutti i contenuti dannosi nascosti nei file. Rimuove sia il codice sorgente macro che il codice p all'interno dei documenti. La nostra tecnologia avanzata di prevenzione delle minacce non si basa sul rilevamento. Presume che tutti i file che entrano nella vostra rete siano sospetti, e sanifica e ricostruisce ogni file con i suoi soli componenti legittimi. Indipendentemente dal modo in cui il contenuto attivo (macro, campo modulo, collegamento ipertestuale, ecc.) è nascosto in un documento, viene rimosso prima che il file venga inviato agli utenti. Guardate il video dimostrativo qui sotto per capire come Deep CDR sia efficace nello scenario di VBA Stomping.
Deep CDR garantisce che ogni file che entra nell'organizzazione sia reso innocuo. Questo aiuta a prevenire gli attacchi zero-day e a impedire l'ingresso di malware evasivo nell'organizzazione. La nostra soluzione supporta la sanificazione di oltre 100 tipi di file comuni, tra cui PDF, file di Microsoft Office, HTML, file di immagine e molti formati specifici regionali come JTD e HWP.
Contattateci per saperne di più sulle tecnologie avanzate di OPSWATe per proteggere la vostra organizzazione da attacchi sempre più sofisticati.
Riferimento:
(1) "Rapporto sulle minacce malware: Statistiche e tendenze del secondo trimestre 2020 | Blog Avira". 2020. Blog Avira. https://www.avira.com/en/blog/....
