マクロは、依然としてマルウェアやペイロードを配布するための最も一般的な手段です。実際、マルウェア作成者は、MS Officeやスクリプトベースの脅威を悪用する攻撃手法へと移行しつつあります。Avira Protection Labsによる「マルウェア脅威レポート:2020年第2四半期の統計と動向」によると、スクリプトベースの検知件数(73.55%)およびOfficeベースのマクロ検知件数(30.43%)が大幅に増加しました。(1)脅威アクターは、回避型VBAやマクロコードを「表示不可」にする「VBAプロジェクトのロック」など、悪意のあるマクロを隠蔽するために様々な手法を用いています。これらの脅威は、Deep Content Disarm and Reconstruction Deep CDR™テクノロジー)によって無力化できます。Deep CDR™テクノロジーの有効性については、以前のブログ記事で解説しています。 本ブログでは、Deep CDR™テクノロジーが「VBA Stomping」と呼ばれる別の高度なマルウェア回避手法をどのように防ぐかをご紹介します。
VBAストンピングは、Vesselin Bontchev博士のVBA p-codeディスアセンブラ紹介の中で説明されている。この問題は、VBAストンプがOfficeファイルに埋め込まれたオリジナルのVBAソースコードを破壊し、pコード(スタックマシン用の擬似コード)にコンパイルすることで、マルウェアを配信するために実行することができるというものです。この例では、VBAソースコードに基づくマルウェア文書(maldoc)検出が回避され、悪意のあるペイロードが正常に配信されます。以下は、VBAストンプの詳細な例です。
VBAストンプ技術を使用し、元のマクロスクリプトを単純なメッセージを表示するように変更します。これにより、マルウェア対策プログラムがファイル内の疑わしいアクティブコンテンツを検出することを防ぎます。しかし、マクロはまだ実行可能であり(pコードを介して)、コマンドラインの実行を要求します。
Deep CDR™テクノロジーは、ファイル内に隠されたあらゆる悪意のあるコンテンツからユーザーを保護します。この技術は、ドキュメント内のマクロのソースコードとPコードの両方を削除します。当社の高度な脅威防止技術は、検知に依存しません。ネットワークに流入するすべてのファイルを疑わしいものと見なし、正当なコンポーネントのみを用いて各ファイルをクリーンアップし、再構築します。アクティブコンテンツ(マクロ、フォームフィールド、ハイパーリンクなど)がドキュメント内でどのように隠されていても、ファイルがユーザーに送信される前に削除されます。 以下のデモ動画をご覧いただき、VBA StompingのシナリオにおいてDeep CDR™テクノロジーがいかに有効であるかをご確認ください。
Deep CDR™ テクノロジーにより、組織に流入するすべてのファイルが無害化されます。これにより、ゼロデイ攻撃の防止や、検知を回避するマルウェアの侵入を阻止します。当社のソリューションは、PDF、Microsoft Office ファイル、HTML、画像ファイルをはじめ、JTD や HWP などの地域特有のフォーマットを含む、100 種類以上の一般的なファイル形式の無害化に対応しています。
OPSWATの高度な技術について詳しく理解し、ますます巧妙になる攻撃から組織を守るために、当社にお問い合わせください。
参考までに:
(1) 「マルウェア脅威レポート:2020年第2四半期の統計と傾向|Avira Blog".2020.Avira Blog。https://www.avira.com/en/blog/....
