宏仍然是惡意軟體和有效負載傳輸的最流行載體。事實上,惡意軟體作者正在轉向利用 MS Office 和基於腳本的威脅的攻擊方法。根據 Avira Protection Labs 發佈的《惡意軟體威脅報告:2020 年第 2 季度統計和趨勢》(Malware Threat Report: Q2 2 2020 Statistics and Trends),基於腳本的檢測 (73.55%) 和基於 Office 的宏檢測 (30.43%) 顯著增加。 威脅參與者使用各種技術來隱藏惡意宏,例如規避 VBA 和 VBA 專案鎖定,這會使宏代碼“不可見”。這些威脅可以透過以下方式消除 OPSWAT 檔案無毒化 (Deep CDR) 技術。Deep CDR(檔案無毒化) 功效在我們之前的 文章文章中進行了描述。在這篇文章中,我們將展示Deep CDR(檔案無毒化) 如何防止另一種稱為 VBA 踩踏的高階惡意軟體規避技術。
VBA 踩踏由 Vesselin Bontchev 博士在他的 VBA p 代碼反彙編器介紹中進行了說明。問題在於,VBA 踩踏會破壞嵌入在 Office 檔案中的原始 VBA 原始程式碼,並將其編譯成 p 代碼(堆棧機器的偽代碼),可以執行該代碼來傳遞惡意軟體。在這種情況下,基於 VBA原始程式碼的惡意軟體檔案 (maldoc) 檢測被繞過,惡意負載被成功傳遞。這是 VBA 踩踏的詳細示例。
使用 VBA 踩踏技術,更改原始巨集腳本以顯示簡單消息。這樣可以防止反惡意軟體程序檢測檔案中的可疑活動內容。但是,巨集仍然是可執行的(透過 p 代碼)並請求執行命令行。
Deep CDR(檔案無毒化) 可保護您免受隱藏在檔中的所有惡意內容的侵害。它刪除了檔案中的宏源代碼和 p 代碼。我們先進的威脅防禦技術不依賴於檢測。它假定進入您網路的所有檔都是可疑的,並僅使用其合法元件對每個檔進行清理和重建。無論活動內容(宏、表單域、超連結等)如何隱藏在檔案中,都會在將檔發送給使用者之前將其刪除。觀看下面的演示影片,瞭解Deep CDR(檔案無毒化) 在 VBA 踩踏場景中的有效性。
Deep CDR(檔案無毒化) 可確保進入組織的每個檔都變得無害。這有助於防止零時差攻擊,並阻止規避惡意軟體進入您的組織。我們的解決方案支援清理 100 多種常見檔案類型,包括 PDF、Microsoft Office 檔、HTML、圖像檔以及許多特定於區域的格式,如 JTD 和 HWP。
聯繫我們 以瞭解更多資訊 OPSWAT的先進技術,並保護您的組織免受日益複雜的攻擊。
參考:
(1) 《惡意軟體威脅報告:2020 年第二季度統計與趨勢 |Avira 文章“。2020 . Avira 文章。 https://www.avira.com/en/blog/....
