巨集仍是惡意軟體與有效載荷傳播最常見的途徑。事實上,惡意軟體作者正轉向利用Microsoft Office及腳本型威脅的攻擊手法。根據 Avira Protection Labs 發布的《2020 年第二季惡意軟體威脅報告:統計數據與趨勢》,基於腳本的偵測案例(73.55%)與基於 Office 的巨集偵測案例(30.43%)均顯著增加。(1)威脅行為者會使用各種技術來隱藏惡意巨集,例如迴避性 VBA 以及將 VBA 專案鎖定以使巨集程式碼「無法檢視」。這些威脅可透過OPSWAT Deep Content Disarm and Reconstruction Deep CDR™ 技術)來中和。關於 Deep CDR™ 技術的效能,我們在之前的部落格文章中已有說明。 在本篇部落格中,我們將展示 Deep CDR™ 技術如何防範另一種名為「VBA Stomping」的高級惡意軟體規避技術。
VBA 踩踏由 Vesselin Bontchev 博士在他的 VBA p 代碼反彙編器介紹中進行了說明。問題在於,VBA 踩踏會破壞嵌入在 Office 檔案中的原始 VBA 原始程式碼,並將其編譯成 p 代碼(堆棧機器的偽代碼),可以執行該代碼來傳遞惡意軟體。在這種情況下,基於 VBA原始程式碼的惡意軟體檔案 (maldoc) 檢測被繞過,惡意負載被成功傳遞。這是 VBA 踩踏的詳細示例。
使用 VBA 踩踏技術,更改原始巨集腳本以顯示簡單消息。這樣可以防止反惡意軟體程序檢測檔案中的可疑活動內容。但是,巨集仍然是可執行的(透過 p 代碼)並請求執行命令行。
Deep CDR™ 技術可保護您免受隱藏於檔案中的所有惡意內容侵害。它能移除文件中的巨集原始碼與 p-code。我們的先進威脅防禦技術不依賴偵測機制,而是預設所有進入您網路的檔案皆具可疑性,並僅保留其合法組件來淨化與重建每個檔案。無論活動內容(巨集、表單欄位、超連結等)在文件中如何隱藏,皆會在檔案傳送給使用者之前被移除。 請觀看下方示範影片,了解 Deep CDR™ 技術在 VBA 扼殺(Stomping)情境中的有效運作方式。
Deep CDR™ 技術可確保進入貴組織的每個檔案均被徹底無害化。這有助於防範零日攻擊,並阻止具有隱蔽性的惡意軟體入侵貴組織。我們的解決方案支援對超過100 種常見檔案格式進行無害化處理,包括 PDF、Microsoft Office 檔案、HTML、圖像檔案,以及許多地區性特定格式,例如 JTD 和 HWP。
聯繫我們 以瞭解更多資訊 OPSWAT的先進技術,並保護您的組織免受日益複雜的攻擊。
參考:
(1) 《惡意軟體威脅報告:2020 年第二季度統計與趨勢 |Avira 文章“。2020 . Avira 文章。 https://www.avira.com/en/blog/....
