Ursprünglich veröffentlicht am 05. Juni 2020.
Malware entwickelt sich ständig weiter, und damit auch die Techniken zur Umgehung von Malware. In einer von der Universität Genua durchgeführten Studie, in der 180.000 Windows-Malware-Samples analysiert wurden, wurde festgestellt, dass 40 % von ihnen mindestens eine Umgehungstechnik anwenden. In diesem Blog-Beitrag untersuchen wir zwei Methoden, die von Bedrohungsakteuren eingesetzt werden, um Antiviren-Software (AV) zu umgehen.
Wir sehen uns ein Malware-Beispiel an, um zu erfahren, wie Angreifer scheinbar harmlose Excel-Dateien nutzen, um Unternehmen zu infizieren. Die Datei enthält ein Makro, das eine stenografische Datei herunterlädt und sie entschlüsselt, um eine bösartige Nutzlast zu extrahieren.
VelvetSweatshop Kennwort
Das "VelvetSweatshop"-Standardpasswort ist eine alte Sicherheitslücke, die erstmals im Jahr 2012 bekannt wurde. Zuletzt wurde sie genutzt, um die LimeRAT-Malware zu verbreiten. Die Cyberkriminellen wählten diese Taktik, weil Microsoft Excel die Fähigkeit hat, das eingebettete Standardkennwort VelvetSweatshop zu verwenden, um eine Datei zu entschlüsseln, sie im Nur-Lese-Modus ohne Kennwortanforderung zu öffnen und gleichzeitig integrierte Makros auszuführen.
Durch die Verschlüsselung der Beispieldatei mit dem VelvetSweatshop-Passwort wurden einige Antiviren-Scan-Engines daran gehindert, den bösartigen Code zu erkennen. In unseren Tests fanden nur 15 der 40 AVs die Bedrohung.
Passwort-geschütztes Makro
Ähnlich wie beim Kennwortschutz eines Arbeitsblatts können Benutzer mit Microsoft Excel ein Makro in Excel gegen die Anzeige sperren. Mit dieser Funktion werden die Makros jedoch nicht verschlüsselt.
Als wir diese Funktion nutzten, um das Malware-Makro auszublenden, wurde die Erkennung durch einige AV-Programme ebenfalls weniger effektiv. Drei AV-Engines, die das Malware-Beispiel erfolgreich erkannten, konnten die Bedrohung nicht erkennen, wenn das Makro passwortgeschützt war.
Was passiert, wenn wir die beiden Taktiken kombinieren?
Als wir die VelvetSweatshop Password- und die Password-protected Macro-Funktion anwandten, um die Erkennung des schädlichen Beispiels zu umgehen, konnten wir einen deutlichen Rückgang der Scan-Ergebnisse feststellen. Nur 13 der 40 AV-Engines waren in der Lage, die Bedrohung zu erkennen.
Was ist die Lösung, um Malware-Umgehungstechniken zu verhindern?
Bedrohungsakteure suchen immer nach neuen Techniken, um ihre bösartigen Dateien vor Antiviren-Systemen zu verstecken. Eine der besten Methoden zur Bekämpfung von evasiver Malware ist die Deaktivierung aller potenziell bösartigen Objekte in Dateien, die auf Ihr System übertragen werden. Selbst ein harmloses Makro kann später zu einer Sicherheitslücke werden.
OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) entfernt alle eingebetteten aktiven Inhalte in Dateien (einschließlich Makros, OLE-Objekte, Hyperlinks usw.) und rekonstruiert die Dateien nur mit legitimen Komponenten. Darüber hinaus können Sie mit Deep CDR kennwortgeschützte Makros untersuchen, ohne das Kennwort zu kennen. Diese branchenführende Technologie von OPSWAT ist äußerst effektiv bei der Abwehr bekannter und unbekannter Bedrohungen, einschließlich gezielter Zero-Day-Angriffe und fortschrittlicher, ausweichender Malware.
Nachdem das Beispiel von Deep CDR bereinigt wurde, haben wir nun eine bedrohungsfreie Datei mit voller Funktionalität.
Wenn Makros für Ihre Geschäftsabläufe erforderlich sind, ist es wichtig, jede Datei gleichzeitig mit mehreren AVs zu scannen, um die Wahrscheinlichkeit der Erkennung von Bedrohungen zu erhöhen. OPSWAT hat das Konzept von Multiscanning entwickelt und scannt Dateien mit mehr als 30 kommerziellen Anti-Malware-Engines. Durch die Kombination verschiedener Analysemechanismen und -techniken, einschließlich Signaturen, Heuristiken, AI/ML und Emulation, hilft Ihnen die OPSWAT Multiscanning Technologie, die Erkennungsraten bei niedrigen Gesamtbetriebskosten zu maximieren.
Erfahren Sie mehr über Deep CDR und Multiscanning oder sprechen Sie mit einem technischen Experten von OPSWAT , um die beste Sicherheitslösung zum Schutz vor Zero-Day- und Advanced Evasive-Malware zu finden.
Sprechen Sie mit einem Experten
