لا تزال الماكرو هي الوسيلة الأكثر شيوعًا لنقل البرامج الضارة والحمولات الخبيثة. وفي الواقع، يتجه مطورو البرامج الضارة إلى استخدام أساليب هجومية تستفيد من برنامج MS Office والتهديدات القائمة على البرامج النصية. وقد سُجلت زيادة ملحوظة في حالات الكشف عن التهديدات القائمة على البرامج النصية (73.55٪) وحالات الكشف عن الماكرو المستندة إلى Office (30.43٪) وفقًا لتقرير «تهديدات البرامج الضارة: إحصائيات واتجاهات الربع الثاني من عام 2020» الصادر عن مختبرات Avira Protection Labs.(1) يستخدم مسببو التهديدات تقنيات متنوعة لإخفاء الماكروات الخبيثة، مثل VBA المراوغة ومشروع VBA المقفل الذي يجعل كود الماكرو "غير مرئي". يمكن تحييد هذه التهديدات بواسطة تقنية OPSWAT Deep Content Disarm and Reconstruction Deep CDR™). تم وصف فعالية تقنية Deep CDR™ في منشورنا السابق على المدونة. في هذه المدونة، سنوضح كيف تمنع تقنية Deep CDR™ تقنية التهرب المتقدمة الأخرى من البرامج الضارة والتي تسمى VBA Stomping.
تم توضيح الدوس على VBA من قبل الدكتور فيسلين بونتشيف في مقدمة مفكك رمز VBA p. تكمن المشكلة في أن الدوس على VBA يدمر شفرة مصدر VBA الأصلية المضمنة في ملف Office ويجمعها في رمز p (رمز زائف لجهاز مكدس) ، والذي يمكن تنفيذه لتقديم برامج ضارة. في هذه الحالة، يتم تجاوز اكتشاف مستند البرامج الضارة (maldoc) استنادا إلى التعليمات البرمجية المصدر ل VBA ويتم تسليم الحمولة الضارة بنجاح. فيما يلي مثال مفصل على الدوس على VBA.
باستخدام تقنية الدوس VBA ، يتم تغيير البرنامج النصي الأصلي للماكرو لإظهار رسالة بسيطة. هذا يمنع برامج مكافحة البرامج الضارة من اكتشاف المحتوى النشط المشبوه في الملف. ومع ذلك ، لا يزال الماكرو قابلا للتنفيذ (عبر الرمز p) ويطلب تنفيذ سطر الأوامر.
تحميك تقنية Deep CDR™ من جميع المحتويات الضارة المخبأة في الملفات. فهي تزيل كلاً من شفرة مصدر الماكرو وشفرة p-code من داخل المستندات. ولا تعتمد تقنيتنا المتطورة لمنع التهديدات على الكشف عن التهديدات. بل تفترض أن جميع الملفات التي تدخل شبكتك مشبوهة، وتقوم بتنظيف كل ملف وإعادة بنائه باستخدام مكوناته الشرعية فقط. وبغض النظر عن الطريقة التي يتم بها إخفاء المحتوى النشط (الماكرو، حقول النماذج، الارتباطات التشعبية، إلخ) في المستند، يتم إزالته قبل إرسال الملف إلى المستخدمين. شاهد الفيديو التوضيحي أدناه لفهم مدى فعالية تقنية Deep CDR™ في سيناريو VBA Stomping.
تضمن تقنية Deep CDR™ جعل كل ملف يدخل مؤسستك آمنًا. وهذا يساعد على منع هجمات فورية منع البرامج الضارة المُراوغة من دخول مؤسستك. يدعم حلنا عملية التطهير لأكثر من 100 نوع من أنواع الملفات الشائعة، بما في ذلك ملفات PDF وملفات Microsoft Office وملفات HTML وملفات الصور والعديد من التنسيقات الخاصة بكل منطقة مثل JTD وHWP.
اتصل بنا لفهم المزيد عن OPSWATالتقنيات المتقدمة وحماية مؤسستك من الهجمات المتطورة بشكل متزايد.
مرجع:
(1) "تقرير تهديدات البرامج الضارة: إحصائيات واتجاهات الربع الثاني من عام 2020 | مدونة أفيرا". 2020. مدونة أفيرا. https://www.avira.com/en/blog/....
