マクロは、依然としてマルウェアやペイロードの最も一般的な感染経路です。実際、マルウェア作成者は、MS Officeとスクリプトベースの脅威を活用する攻撃手法に切り替えつつあります。Malware Threat Reportによると、スクリプトベースの検出数(73.55%)とOfficeベースのマクロ検出数(30.43%)が大幅に増加しています:Avira Protection Labsによる「Malware Threat Report: Q2 2020 Statistics and Trends」によると、スクリプトベースの検出は73.55%、Officeベースのマクロ検出は30.43%と大幅に増加しています(1)。これらの脅威は、OPSWAT Deep Content Disarm and Reconstruction (Deep CDR )技術によって無力化することができます。Deep CDR 効果については、以前のブログ記事で説明しました。このブログでは、Deep CDR 、VBA Stompingと呼ばれる別の高度なマルウェア回避テクニックを防止する方法を紹介します。
VBAストンピングは、Vesselin Bontchev博士のVBA p-codeディスアセンブラ紹介の中で説明されている。この問題は、VBAストンプがOfficeファイルに埋め込まれたオリジナルのVBAソースコードを破壊し、pコード(スタックマシン用の擬似コード)にコンパイルすることで、マルウェアを配信するために実行することができるというものです。この例では、VBAソースコードに基づくマルウェア文書(maldoc)検出が回避され、悪意のあるペイロードが正常に配信されます。以下は、VBAストンプの詳細な例です。
VBAストンプ技術を使用し、元のマクロスクリプトを単純なメッセージを表示するように変更します。これにより、マルウェア対策プログラムがファイル内の疑わしいアクティブコンテンツを検出することを防ぎます。しかし、マクロはまだ実行可能であり(pコードを介して)、コマンドラインの実行を要求します。
Deep CDR は、ファイルに隠されたすべての悪意のあるコンテンツからあなたを守ります。文書内のマクロソースコードとPコードの両方を削除します。当社の高度な脅威防御技術は、検知に依存しません。ネットワークに侵入するすべてのファイルが疑わしいと想定し、すべてのファイルをサニタイズして正当なコンポーネントのみで再構築します。アクティブコンテンツ(マクロ、フォームフィールド、ハイパーリンクなど)がどのように文書内に隠されているかにかかわらず、ファイルがユーザーに送信される前に削除されます。Deep CDR が VBA Stomping シナリオでどのように効果的であるかを理解するには、以下のデモビデオをご覧ください。
Deep CDRこれにより、組織に侵入するすべてのファイルが無害化されます。これにより、ゼロデイ攻撃を防止し、回避的なマルウェアの侵入を阻止することができます。当社のソリューションは、PDF、Microsoft Officeファイル、HTML、画像ファイル、およびJTDやHWPなどの多くの地域固有の形式を含む、100種類以上の一般的なファイルタイプのサニタイズをサポートしています。
OPSWATの高度な技術について詳しく理解し、ますます巧妙になる攻撃から組織を守るために、当社にお問い合わせください。
参考までに:
(1) 「マルウェア脅威レポート:2020年第2四半期の統計と傾向|Avira Blog".2020.Avira Blog。https://www.avira.com/en/blog/....
