Makrolar, kötü amaçlı yazılım ve yüklerin dağıtımında hâlâ en yaygın vektör olmaya devam ediyor. Aslında, kötü amaçlı yazılım yazarları, MS Office ve komut dosyası tabanlı tehditlerden yararlanan saldırı yöntemlerine yöneliyor. Avira Protection Labs tarafından yayınlanan “Kötü Amaçlı Yazılım Tehdit Raporu: 2020 2. Çeyrek İstatistikleri ve Eğilimleri”ne göre, komut dosyası tabanlı tespitlerde (%73,55) ve Office tabanlı makro tespitlerinde (%30,43) önemli bir artış kaydedildi.(1) Tehdit aktörleri, kötü amaçlı makroları gizlemek için kaçak VBA ve makro kodunu "görüntülenemez" hale getiren kilitli VBA projesi gibi çeşitli teknikler kullanmaktadır. Bu tehditler, OPSWAT Deep Content Disarm and Reconstruction Deep CDR™ Teknolojisi) teknolojisi ile etkisiz hale getirilebilir. Deep CDR™ Teknolojisinin etkinliği, önceki blog yazımızda açıklanmıştır. Bu blog yazısında, Deep CDR™ Teknolojisinin VBA Stomping adlı başka bir gelişmiş kötü amaçlı yazılım kaçırma tekniğini nasıl önlediğini göstereceğiz.
VBA stomping, Dr. Vesselin Bontchev tarafından VBA p-code disassembler tanıtımında gösterilmiştir. Sorun, VBA stomping'in bir Office dosyasına gömülü orijinal VBA kaynak kodunu yok etmesi ve kötü amaçlı yazılım sunmak için çalıştırılabilen bir p koduna (bir yığın makinesi için sözde bir kod) derlemesidir. Bu durumda, VBA kaynak koduna dayalı kötü amaçlı yazılım belgesi (maldoc) tespiti atlanır ve kötü amaçlı yük başarıyla teslim edilir. İşte ayrıntılı bir VBA stomping örneği.
VBA stomping tekniği kullanılarak, orijinal makro komut dosyası basit bir mesaj gösterecek şekilde değiştirilir. Bu, kötü amaçlı yazılımdan koruma programlarının dosyadaki şüpheli aktif içeriği tespit etmesini engeller. Bununla birlikte, makro hala çalıştırılabilir (p kodu aracılığıyla) ve komut satırını çalıştırmayı talep eder.
Deep CDR™ Teknolojisi, dosyalarda gizlenmiş tüm zararlı içeriklerden sizi korur. Belgelerdeki hem makro kaynak kodunu hem de p-kodunu kaldırır. Gelişmiş tehdit önleme teknolojimiz, algılamaya dayanmaz. Ağınıza giren tüm dosyaların şüpheli olduğunu varsayar ve her dosyayı yalnızca meşru bileşenleriyle temizleyip yeniden oluşturur. Etkin içerik (makro, form alanı, köprü vb.) bir belgede nasıl gizlenmiş olursa olsun, dosya kullanıcılara gönderilmeden önce kaldırılır. Deep CDR™ Teknolojisinin VBA Stomping senaryosunda ne kadar etkili olduğunu anlamak için aşağıdaki demo videosunu izleyin.
Deep CDR™ Teknolojisi, kuruluşunuza giren her dosyanın zararsız hale getirilmesini sağlar. Bu, sıfırıncı gün saldırılarını önlemeye yardımcı olur ve tespit edilmeyi atlatan kötü amaçlı yazılımların kuruluşunuza girmesini engeller. Çözümümüz, PDF, Microsoft Office dosyaları, HTML, resim dosyaları ve JTD ile HWP gibi birçok bölgeye özgü format dahil olmak üzere 100'den fazla yaygın dosya türünün temizlenmesini destekler.
OPSWAT'un gelişmiş teknolojileri hakkında daha fazla bilgi edinmek ve kuruluşunuzu giderek karmaşıklaşan saldırılara karşı korumak için bizimle iletişime geçin.
Referans:
(1) "Kötü Amaçlı Yazılım Tehdit Raporu: 2020 2. Çeyrek İstatistikleri ve Trendleri | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
