פקודות מאקרו נותרות הווקטור הפופולרי ביותר להעברת תוכנות זדוניות ומטענים. למעשה, מחברי תוכנות זדוניות עוברים למתודולוגיות תקיפה הממנפות את MS Office ואיומים מבוססי סקריפטים. חלה עלייה משמעותית בגילויים מבוססי סקריפטים (73.55%) ובגילויי מאקרו מבוססי Office (30.43%), על פי דוח איומי התוכנות הזדוניות: סטטיסטיקות ומגמות לרבעון השני של 2020 מאת Avira Protection Labs. (1) טכניקות שונות משמשות גורמי איום כדי להסתיר פקודות מאקרו זדוניות, כגון VBA חמקמק ונעילת פרויקט VBA, מה שהופך את קוד המאקרו ל'בלתי ניתן לצפייה'. ניתן לנטרל איומים אלה על ידי... OPSWAT Deep Content Disarm and Reconstruction ( Deep CDR ) טכנולוגיה. Deep CDR היעילות מתוארת בפוסט הקודם שלנו בבלוג . בבלוג זה, נראה כיצד Deep CDR מונע טכניקת התחמקות מתקדמת נוספת של תוכנות זדוניות הנקראת VBA Stomping.
ד"ר וסלין בונצ'ב המחיש את השימוש ב-VBA stomping במבוא שלו ל-p-code disassembler של VBA . הבעיה היא ש-VBA stomping הורס את קוד המקור המקורי של VBA המוטמע בקובץ Office ומקמפל אותו ל-p-code (קוד מדומה עבור מכונת stack), שניתן להפעיל אותו כדי להעביר תוכנות זדוניות. במקרה זה, זיהוי מסמך זדוני (maldoc) המבוסס על קוד המקור של VBA מעקף והמטען הזדוני מועבר בהצלחה. הנה דוגמה מפורטת של VBA stomping.
באמצעות טכניקת VBA stomping, סקריפט המאקרו המקורי משתנה כדי להציג הודעה פשוטה. זה מונע מתוכנות אנטי-וירוס לזהות את התוכן הפעיל החשוד בקובץ. עם זאת, המאקרו עדיין ניתן להרצה (דרך קוד ה-p) ומבקש לבצע את שורת הפקודה.
Deep CDR מגן עליך מפני כל תוכן זדוני המוסתר בקבצים. הוא מסיר גם קוד מקור מאקרו וגם קוד p מתוך מסמכים. טכנולוגיית מניעת האיומים המתקדמת שלנו אינה מסתמכת על זיהוי. היא מניחה שכל הקבצים הנכנסים לרשת שלך חשודים ומחטאת ובונה מחדש כל קובץ עם רכיביו הלגיטימיים בלבד. ללא קשר לאופן שבו התוכן הפעיל (מאקרו, שדה טופס, היפר-קישור וכו') מוסתר במסמך, הוא מוסר לפני שהקובץ נשלח למשתמשים. צפה בסרטון ההדגמה למטה כדי להבין כיצד Deep CDR יעיל בתרחיש VBA Stomping.
Deep CDR מבטיח שכל קובץ הנכנס לארגון שלך יהיה מפוקח. זה עוזר למנוע התקפות יום אפס ומונע כניסת תוכנות זדוניות חמקמקות לארגון שלך. הפתרון שלנו תומך בניקוי של למעלה מ -100 סוגי קבצים נפוצים , כולל PDF, קבצי Microsoft Office, HTML, קבצי תמונה ופורמטים רבים ספציפיים לאזור כגון JTD ו-HWP.
צרו קשר כדי להבין יותר על OPSWAT הטכנולוגיות המתקדמות של ולהגן על הארגון שלך מפני התקפות מתוחכמות יותר ויותר.
הַפנָיָה:
(1) "דוח איומי תוכנות זדוניות: סטטיסטיקות ומגמות לרבעון השני של 2020 | בלוג Avira". 2020. בלוג Avira . https://www.avira.com/en/blog/... .
