لا تزال وحدات الماكرو هي الناقل الأكثر شيوعًا للبرمجيات الضارة وتسليم الحمولة. في الواقع، يتحول مؤلفو البرمجيات الضارة إلى منهجيات الهجوم التي تستفيد من MS Office والتهديدات القائمة على البرامج النصية. كانت هناك زيادة كبيرة في عمليات الكشف المستندة إلى البرامج النصية (73.55%) وعمليات الكشف عن وحدات الماكرو المستندة إلى Office (30.43%) وفقًا لتقرير تهديدات البرمجيات الضارة: إحصائيات واتجاهات الربع الثاني من عام 2020 من قبل مختبرات Avira Protection Labs.(1 ) تستخدم الجهات التخريبية تقنيات مختلفة لإخفاء وحدات الماكرو الضارة، مثل المراوغة في البرمجيات الضارة VBA ومشروع VBA المقفل الذي يجعل رمز الماكرو "غير قابل للعرض". يمكن إبطال مفعول هذه التهديدات من خلال تقنية OPSWAT Deep Content Disarm and Reconstruction (Deep CDR). Deep CDR فعالية موصوفة في منشور المدونة السابق. في هذه المدونة، سنوضح في هذه المدونة كيف يمنع Deep CDR تقنية متقدمة أخرى للتهرب من البرمجيات الضارة تسمى VBA Stomping.
تم توضيح الدوس على VBA من قبل الدكتور فيسلين بونتشيف في مقدمة مفكك رمز VBA p. تكمن المشكلة في أن الدوس على VBA يدمر شفرة مصدر VBA الأصلية المضمنة في ملف Office ويجمعها في رمز p (رمز زائف لجهاز مكدس) ، والذي يمكن تنفيذه لتقديم برامج ضارة. في هذه الحالة، يتم تجاوز اكتشاف مستند البرامج الضارة (maldoc) استنادا إلى التعليمات البرمجية المصدر ل VBA ويتم تسليم الحمولة الضارة بنجاح. فيما يلي مثال مفصل على الدوس على VBA.
باستخدام تقنية الدوس VBA ، يتم تغيير البرنامج النصي الأصلي للماكرو لإظهار رسالة بسيطة. هذا يمنع برامج مكافحة البرامج الضارة من اكتشاف المحتوى النشط المشبوه في الملف. ومع ذلك ، لا يزال الماكرو قابلا للتنفيذ (عبر الرمز p) ويطلب تنفيذ سطر الأوامر.
Deep CDR يحميك من جميع المحتويات الضارة المخفية في الملفات. فهو يزيل كلاً من التعليمات البرمجية المصدرية للماكرو والرموز البرمجية داخل المستندات. لا تعتمد تقنيتنا المتقدمة للوقاية من التهديدات على الاكتشاف. فهي تفترض أن جميع الملفات التي تدخل شبكتك مشبوهة وتقوم بتعقيم وإعادة بناء كل ملف بمكوناته الشرعية فقط. وبغض النظر عن كيفية إخفاء المحتوى النشط (ماكرو، حقل نموذج، رابط تشعبي، إلخ) في المستند، فإنه تتم إزالته قبل إرسال الملف إلى المستخدمين. شاهد الفيديو التوضيحي أدناه لفهم مدى فعالية Deep CDR في سيناريو دوس VBA.
Deep CDR يضمن جعل كل ملف يدخل مؤسستك غير ضار. وهذا يساعد على منع هجمات فورية ويمنع البرمجيات الضارة المراوغة من دخول مؤسستك. يدعم حلنا تعقيم أكثر من 100 نوع شائع من الملفات، بما في ذلك ملفات PDF وملفات Microsoft Office وHTML وملفات الصور والعديد من التنسيقات الخاصة بالمنطقة مثل JTD وHWP.
اتصل بنا لفهم المزيد عن OPSWATالتقنيات المتقدمة وحماية مؤسستك من الهجمات المتطورة بشكل متزايد.
مرجع:
(1) "تقرير تهديدات البرامج الضارة: إحصائيات واتجاهات الربع الثاني من عام 2020 | مدونة أفيرا". 2020. مدونة أفيرا. https://www.avira.com/en/blog/....
