Les macros restent le vecteur le plus populaire pour la diffusion de logiciels malveillants et de charges utiles. En fait, les auteurs de logiciels malveillants se tournent vers des méthodes d'attaque qui exploitent MS Office et les menaces basées sur des scripts. Selon le rapport sur les menaces malveillantes : statistiques et tendances du deuxième trimestre 2020 publié par Avira Protection Labs, on constate une augmentation significative des détections basées sur des scripts (73,55 %) et des détections de macros Office (30,43 %).(1) Les auteurs de menaces utilisent diverses techniques pour dissimuler les macros malveillantes, telles que le VBA évasif et le projet VBA verrouillé, qui rend le code de la macro « invisible ». Ces menaces peuvent être neutralisées par la technologie OPSWAT Deep Content Disarm and Reconstruction Deep CDR™). L'efficacité de la technologie Deep CDR™ est décrite dans notre précédent article de blog. Dans cet article, nous allons montrer comment la technologie Deep CDR™ empêche une autre technique avancée d'évasion des logiciels malveillants appelée VBA Stomping.
Vesselin Bontchev dans l'introduction de son désassembleur de p-code VBA. Le problème est que le désassemblage VBA détruit le code source VBA original intégré dans un fichier Office et le compile en un p-code (un pseudo-code pour une machine à pile), qui peut être exécuté pour diffuser des logiciels malveillants. Dans ce cas, la détection des documents malveillants (maldoc) basée sur le code source VBA est contournée et la charge utile malveillante est transmise avec succès. Voici un exemple détaillé de l'utilisation de VBA.
À l'aide de la technique VBA stomping, le script macro d'origine est modifié pour afficher un simple message. Cela empêche les programmes anti-malware de détecter le contenu actif suspect du fichier. Cependant, la macro est toujours exécutable (via le code p) et demande l'exécution de la ligne de commande.
La technologie Deep CDR™ vous protège contre tous les contenus malveillants cachés dans les fichiers. Elle supprime à la fois le code source des macros et le code p dans les documents. Notre technologie avancée de prévention des menaces ne repose pas sur la détection. Elle considère que tous les fichiers entrant dans votre réseau sont suspects et nettoie et reconstruit chaque fichier en ne conservant que ses composants légitimes. Quelle que soit la manière dont le contenu actif (macro, champ de formulaire, lien hypertexte, etc.) est dissimulé dans un document, il est supprimé avant que le fichier ne soit envoyé aux utilisateurs. Regardez la vidéo de démonstration ci-dessous pour comprendre l'efficacité de la technologie Deep CDR™ dans le scénario VBA Stomping.
La technologie Deep CDR™ garantit que tous les fichiers entrant dans votre organisation sont rendus inoffensifs. Cela permet d'empêcher les attaques zero-day et d'empêcher les logiciels malveillants furtifs d'entrer dans votre organisation. Notre solution prend en charge la désinfection de plus de 100 types de fichiers courants, notamment les fichiers PDF, Microsoft Office, HTML, les fichiers image et de nombreux formats spécifiques à certaines régions, tels que JTD et HWP.
Contactez-nous pour en savoir plus sur les technologies avancées de OPSWATet pour protéger votre organisation contre des attaques de plus en plus sophistiquées.
Référence :
(1) "Rapport sur les menaces de logiciels malveillants : Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
