Makros sind nach wie vor der beliebteste Vektor für die Verbreitung von Malware und Nutzdaten. Tatsächlich gehen Malware-Autoren zu Angriffsmethoden über, die MS Office und skriptbasierte Bedrohungen nutzen. Laut dem Malware Threat Report gab es einen deutlichen Anstieg bei skriptbasierten Erkennungen (73,55 %) und Office-basierten Makro-Erkennungen (30,43 %): Q2 2020 Statistics and Trends von Avira Protection Labs.(1) Bedrohungsakteure verwenden verschiedene Techniken, um bösartige Makros zu verstecken, wie z. B. VBA und VBA-Projektsperren, die den Makrocode unlesbar machen. Diese Bedrohungen können durch die Technologie OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) neutralisiert werden. Die Wirksamkeit von Deep CDR wird in unserem vorherigen Blogbeitrag beschrieben. In diesem Blog zeigen wir, wie Deep CDR eine andere fortschrittliche Malware-Umgehungstechnik namens VBA Stomping verhindert.
VBA Stomping wurde von Dr. Vesselin Bontchev in seiner Einführung zum VBA p-code disassembler beschrieben. Das Problem besteht darin, dass VBA Stomping den ursprünglichen, in eine Office-Datei eingebetteten VBA-Quellcode zerstört und ihn in einen p-Code (einen Pseudocode für eine Stack-Maschine) kompiliert, der ausgeführt werden kann, um Malware zu übertragen. In diesem Fall wird die auf dem VBA-Quellcode basierende Erkennung von Malware-Dokumenten (Maldoc) umgangen und die bösartige Nutzlast wird erfolgreich übermittelt. Hier ist ein detailliertes Beispiel für VBA Stomping.
Mithilfe der VBA Stomping-Technik wird das ursprüngliche Makro-Skript so verändert, dass eine einfache Meldung angezeigt wird. Dadurch wird verhindert, dass Anti-Malware-Programme den verdächtigen aktiven Inhalt der Datei erkennen. Das Makro ist jedoch weiterhin ausführbar (über den p-Code) und fordert zur Ausführung der Befehlszeile auf.
Deep CDR schützt Sie vor allen bösartigen Inhalten, die in Dateien versteckt sind. Es entfernt sowohl Makro-Quellcode als auch P-Code in Dokumenten. Unsere fortschrittliche Technologie zur Abwehr von Bedrohungen verlässt sich nicht auf die Erkennung. Sie geht davon aus, dass alle Dateien, die in Ihr Netzwerk gelangen, verdächtig sind, und bereinigt und rekonstruiert jede Datei nur mit ihren legitimen Komponenten. Unabhängig davon, wie der aktive Inhalt (Makro, Formularfeld, Hyperlink usw.) in einem Dokument versteckt ist, wird er entfernt, bevor die Datei an die Benutzer gesendet wird. Sehen Sie sich das Demo-Video unten an, um zu verstehen, wie Deep CDR im VBA Stomping-Szenario effektiv ist.
Deep CDR stellt sicher, dass jede Datei, die in Ihr Unternehmen gelangt, unschädlich gemacht wird. Auf diese Weise werden Zero-Day-Angriffe verhindert und das Eindringen von ausweichender Malware in Ihr Unternehmen unterbunden. Unsere Lösung unterstützt die Bereinigung von über 100 gängigen Dateitypen, darunter PDF, Microsoft Office-Dateien, HTML, Bilddateien und viele regionalspezifische Formate wie JTD und HWP.
Wenden Sie sich an uns, wenn Sie mehr über die fortschrittlichen Technologien von OPSWATerfahren und Ihr Unternehmen vor immer raffinierteren Angriffen schützen möchten.
Referenz:
(1) "Malware Threat Report: Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
