Makrolar, kötü amaçlı yazılım ve yük dağıtımı için en popüler vektör olmaya devam etmektedir. Aslında, kötü amaçlı yazılım yazarları MS Office ve komut dosyası tabanlı tehditlerden yararlanan saldırı metodolojilerine geçiş yapıyor. Malware Threat Report'a göre, komut dosyası tabanlı tespitlerde (%73,55) ve Office tabanlı makro tespitlerinde (%30,43) önemli bir artış oldu: Avira Protection Labs tarafından hazırlanan 2020 2. Çeyrek İstatistikleri ve Trendleri'ne göre(1) tehdit aktörleri tarafından kötü amaçlı makroları gizlemek için makro kodunu 'görüntülenemez' hale getiren kaçamak VBA ve VBA projesi kilitli gibi çeşitli teknikler kullanılmaktadır. Bu tehditler OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) teknolojisi ile etkisiz hale getirilebilir. Deep CDR etkinliği bir önceki blog yazımızda açıklanmıştır. Bu blogda, Deep CDR 'un VBA Stomping adı verilen bir başka gelişmiş kötü amaçlı yazılımdan kaçınma tekniğini nasıl önlediğini göstereceğiz.
VBA stomping, Dr. Vesselin Bontchev tarafından VBA p-code disassembler tanıtımında gösterilmiştir. Sorun, VBA stomping'in bir Office dosyasına gömülü orijinal VBA kaynak kodunu yok etmesi ve kötü amaçlı yazılım sunmak için çalıştırılabilen bir p koduna (bir yığın makinesi için sözde bir kod) derlemesidir. Bu durumda, VBA kaynak koduna dayalı kötü amaçlı yazılım belgesi (maldoc) tespiti atlanır ve kötü amaçlı yük başarıyla teslim edilir. İşte ayrıntılı bir VBA stomping örneği.
VBA stomping tekniği kullanılarak, orijinal makro komut dosyası basit bir mesaj gösterecek şekilde değiştirilir. Bu, kötü amaçlı yazılımdan koruma programlarının dosyadaki şüpheli aktif içeriği tespit etmesini engeller. Bununla birlikte, makro hala çalıştırılabilir (p kodu aracılığıyla) ve komut satırını çalıştırmayı talep eder.
Deep CDR sizi dosyalarda gizlenmiş tüm kötü amaçlı içeriklerden korur. Belgelerdeki hem makro kaynak kodunu hem de p kodunu kaldırır. Gelişmiş tehdit önleme teknolojimiz algılamaya dayanmaz. Ağınıza giren tüm dosyaların şüpheli olduğunu varsayar ve her dosyayı yalnızca yasal bileşenleriyle sterilize eder ve yeniden yapılandırır. Aktif içeriğin (makro, form alanı, köprü vb.) bir belgede nasıl gizlendiğine bakılmaksızın, dosya kullanıcılara gönderilmeden önce kaldırılır. Deep CDR 'un VBA Stomping senaryosunda nasıl etkili olduğunu anlamak için aşağıdaki demo videoyu izleyin.
Deep CDR kuruluşunuza giren her dosyanın zararsız hale getirilmesini sağlar. Bu, sıfırıncı gün saldırılarının önlenmesine yardımcı olur ve kaçamak kötü amaçlı yazılımların kuruluşunuza girmesini engeller. Çözümümüz PDF, Microsoft Office dosyaları, HTML, görüntü dosyaları ve JTD ve HWP gibi bölgeye özgü birçok format dahil olmak üzere 100'den fazla yaygın dosya türü için sanitizasyonu destekler.
OPSWAT'un gelişmiş teknolojileri hakkında daha fazla bilgi edinmek ve kuruluşunuzu giderek karmaşıklaşan saldırılara karşı korumak için bizimle iletişime geçin.
Referans:
(1) "Kötü Amaçlı Yazılım Tehdit Raporu: 2020 2. Çeyrek İstatistikleri ve Trendleri | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
