Makros sind nach wie vor der beliebteste Übertragungsweg für Malware und die Auslieferung von Schadcode. Tatsächlich wechseln Malware-Autoren zunehmend zu Angriffsmethoden, die MS Office und skriptbasierte Bedrohungen nutzen. Laut dem „Malware Threat Report: Q2 2020 Statistics and Trends“ von Avira Protection Labs war ein deutlicher Anstieg bei den Erkennungen skriptbasierter Bedrohungen (73,55 %) und Office-basierter Makros (30,43 %) zu verzeichnen.(1) Bedrohungsakteure nutzen verschiedene Techniken, um bösartige Makros zu verbergen, wie beispielsweise evasives VBA und „VBA Project Locked“, wodurch der Makrocode „unsichtbar“ wird. Diese Bedrohungen können durch die OPSWAT Deep Content Disarm and Reconstruction Deep CDR™)-Technologie neutralisiert werden. Die Wirksamkeit der Deep CDR™-Technologie wird in unserem vorherigen Blogbeitrag beschrieben. In diesem Blogbeitrag zeigen wir, wie die Deep CDR™-Technologie eine weitere fortschrittliche Malware-Umgehungstechnik namens „VBA Stomping“ verhindert.
VBA Stomping wurde von Dr. Vesselin Bontchev in seiner Einführung zum VBA p-code disassembler beschrieben. Das Problem besteht darin, dass VBA Stomping den ursprünglichen, in eine Office-Datei eingebetteten VBA-Quellcode zerstört und ihn in einen p-Code (einen Pseudocode für eine Stack-Maschine) kompiliert, der ausgeführt werden kann, um Malware zu übertragen. In diesem Fall wird die auf dem VBA-Quellcode basierende Erkennung von Malware-Dokumenten (Maldoc) umgangen und die bösartige Nutzlast wird erfolgreich übermittelt. Hier ist ein detailliertes Beispiel für VBA Stomping.
Mithilfe der VBA Stomping-Technik wird das ursprüngliche Makro-Skript so verändert, dass eine einfache Meldung angezeigt wird. Dadurch wird verhindert, dass Anti-Malware-Programme den verdächtigen aktiven Inhalt der Datei erkennen. Das Makro ist jedoch weiterhin ausführbar (über den p-Code) und fordert zur Ausführung der Befehlszeile auf.
Die Deep CDR™-Technologie schützt Sie vor allen in Dateien versteckten schädlichen Inhalten. Sie entfernt sowohl Makro-Quellcode als auch P-Code aus Dokumenten. Unsere fortschrittliche Technologie zur Bedrohungsprävention stützt sich nicht auf Erkennung. Sie geht davon aus, dass alle Dateien, die in Ihr Netzwerk gelangen, verdächtig sind, und bereinigt und rekonstruiert jede Datei unter Verwendung ausschließlich ihrer legitimen Komponenten. Unabhängig davon, wie der aktive Inhalt (Makro, Formularfeld, Hyperlink usw.) in einem Dokument verborgen ist, wird er entfernt, bevor die Datei an die Benutzer gesendet wird. Sehen Sie sich das folgende Demo-Video an, um zu verstehen, wie effektiv die Deep CDR™-Technologie im VBA-Stomping-Szenario ist.
Die Deep CDR™-Technologie stellt sicher, dass jede Datei, die in Ihr Unternehmen gelangt, unschädlich gemacht wird. Dies trägt dazu bei, Zero-Day-Angriffe zu verhindern und verhindert, dass sich schwer zu erkennende Malware in Ihr Unternehmen einschleust. Unsere Lösung unterstützt die Bereinigung von über 100 gängigen Dateiformaten, darunter PDF, Microsoft Office-Dateien, HTML, Bilddateien und viele regionsspezifische Formate wie JTD und HWP.
Wenden Sie sich an uns, wenn Sie mehr über die fortschrittlichen Technologien von OPSWATerfahren und Ihr Unternehmen vor immer raffinierteren Angriffen schützen möchten.
Referenz:
(1) "Malware Threat Report: Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
