Les macros restent le vecteur le plus populaire pour la diffusion de logiciels malveillants et de charges utiles. En fait, les auteurs de logiciels malveillants adoptent des méthodes d'attaque qui tirent parti de MS Office et des menaces basées sur des scripts. Selon le rapport Malware Threat Report : Q2 2020 Statistics and Trends par Avira Protection Labs.(1) Diverses techniques sont utilisées par les acteurs de la menace pour dissimuler les macros malveillantes, telles que les projets VBA et VBA évasifs verrouillés qui rendent le code de la macro " invisible ". Ces menaces peuvent être neutralisées par la technologie OPSWAT Deep Content Disarm and Reconstruction (Deep CDR). L'efficacité de Deep CDR est décrite dans notre précédent article de blog. Dans ce blog, nous montrerons comment Deep CDR empêche une autre technique avancée d'évasion de logiciels malveillants appelée VBA Stomping.
Vesselin Bontchev dans l'introduction de son désassembleur de p-code VBA. Le problème est que le désassemblage VBA détruit le code source VBA original intégré dans un fichier Office et le compile en un p-code (un pseudo-code pour une machine à pile), qui peut être exécuté pour diffuser des logiciels malveillants. Dans ce cas, la détection des documents malveillants (maldoc) basée sur le code source VBA est contournée et la charge utile malveillante est transmise avec succès. Voici un exemple détaillé de l'utilisation de VBA.
À l'aide de la technique VBA stomping, le script macro d'origine est modifié pour afficher un simple message. Cela empêche les programmes anti-malware de détecter le contenu actif suspect du fichier. Cependant, la macro est toujours exécutable (via le code p) et demande l'exécution de la ligne de commande.
Deep CDR vous protège de tout contenu malveillant caché dans les fichiers. Il supprime à la fois le code source des macros et le code p dans les documents. Notre technologie avancée de prévention des menaces ne repose pas sur la détection. Elle part du principe que tous les fichiers entrant dans votre réseau sont suspects et assainit et reconstruit chaque fichier en ne conservant que ses composants légitimes. Quelle que soit la manière dont le contenu actif (macro, champ de formulaire, lien hypertexte, etc.) est dissimulé dans un document, il est supprimé avant que le fichier ne soit envoyé aux utilisateurs. Regardez la vidéo de démonstration ci-dessous pour comprendre l'efficacité de Deep CDR dans le scénario VBA Stomping.
Deep CDR garantit que chaque fichier entrant dans votre organisation est rendu inoffensif. Cela permet de prévenir les attaques de type "zero-day" et d'empêcher les logiciels malveillants évasifs de pénétrer dans votre organisation. Notre solution prend en charge l'assainissement de plus de 100 types de fichiers courants, y compris les fichiers PDF, Microsoft Office, HTML, les fichiers images et de nombreux formats régionaux spécifiques tels que JTD et HWP.
Contactez-nous pour en savoir plus sur les technologies avancées de OPSWATet pour protéger votre organisation contre des attaques de plus en plus sophistiquées.
Référence :
(1) "Rapport sur les menaces de logiciels malveillants : Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
