פקודות מאקרו נותרות הווקטור הפופולרי ביותר להעברת תוכנות זדוניות ומטענים. למעשה, מחברי תוכנות זדוניות עוברים למתודולוגיות תקיפה הממנפות את MS Office ואיומים מבוססי סקריפטים. חלה עלייה משמעותית בגילויים מבוססי סקריפטים (73.55%) ובגילויי מאקרו מבוססי Office (30.43%), על פי דוח איומי התוכנות הזדוניות: סטטיסטיקות ומגמות לרבעון השני של 2020 מאת Avira Protection Labs. (1) טכניקות שונות משמשות גורמי איום כדי להסתיר פקודות מאקרו זדוניות, כגון VBA חמקמק ונעילת פרויקט VBA, מה שהופך את קוד המאקרו ל'בלתי ניתן לצפייה'. ניתן לנטרל איומים אלה על ידי... OPSWAT Deep Content Disarm and Reconstruction טכנולוגיית (טכנולוגיית Deep CDR™). יעילות טכנולוגיית Deep CDR™ מתוארת בפוסט הקודם שלנו בבלוג . בבלוג זה, נראה כיצד טכנולוגיית Deep CDR™ מונעת טכניקת התחמקות מתקדמת נוספת מתוכנות זדוניות הנקראת VBA Stomping.
ד"ר וסלין בונצ'ב המחיש את השימוש ב-VBA stomping במבוא שלו ל-p-code disassembler של VBA . הבעיה היא ש-VBA stomping הורס את קוד המקור המקורי של VBA המוטמע בקובץ Office ומקמפל אותו ל-p-code (קוד מדומה עבור מכונת stack), שניתן להפעיל אותו כדי להעביר תוכנות זדוניות. במקרה זה, זיהוי מסמך זדוני (maldoc) המבוסס על קוד המקור של VBA מעקף והמטען הזדוני מועבר בהצלחה. הנה דוגמה מפורטת של VBA stomping.
באמצעות טכניקת VBA stomping, סקריפט המאקרו המקורי משתנה כדי להציג הודעה פשוטה. זה מונע מתוכנות אנטי-וירוס לזהות את התוכן הפעיל החשוד בקובץ. עם זאת, המאקרו עדיין ניתן להרצה (דרך קוד ה-p) ומבקש לבצע את שורת הפקודה.
טכנולוגיית Deep CDR™ מגנה עליך מפני כל תוכן זדוני המוסתר בקבצים. היא מסירה גם קוד מקור של מאקרו וגם קוד p מתוך מסמכים. טכנולוגיית מניעת האיומים המתקדמת שלנו אינה מסתמכת על זיהוי. היא מניחה שכל הקבצים הנכנסים לרשת שלך חשודים ומחטאת ובונה מחדש כל קובץ עם רכיביו הלגיטימיים בלבד. ללא קשר לאופן שבו התוכן הפעיל (מאקרו, שדה טופס, היפר-קישור וכו') מוסתר במסמך, הוא מוסר לפני שהקובץ נשלח למשתמשים. צפה בסרטון ההדגמה למטה כדי להבין כיצד טכנולוגיית Deep CDR™ יעילה בתרחיש VBA Stomping.
טכנולוגיית Deep CDR™ מבטיחה שכל קובץ הנכנס לארגון שלך יהיה מפוקח. זה מסייע במניעת התקפות יום אפס ומונעת כניסת תוכנות זדוניות חמקמקות לארגון שלך. הפתרון שלנו תומך בניקוי של למעלה מ -100 סוגי קבצים נפוצים , כולל PDF, קבצי Microsoft Office, HTML, קבצי תמונה ופורמטים רבים ספציפיים לאזור כגון JTD ו-HWP.
צרו קשר כדי להבין יותר על OPSWAT הטכנולוגיות המתקדמות של ולהגן על הארגון שלך מפני התקפות מתוחכמות יותר ויותר.
הַפנָיָה:
(1) "דוח איומי תוכנות זדוניות: סטטיסטיקות ומגמות לרבעון השני של 2020 | בלוג Avira". 2020. בלוג Avira . https://www.avira.com/en/blog/... .
