- PVSM.RU - https://www.pvsm.ru -

Evil Clippy: новый инструмент делает инфицированные файлы MS Office невидимыми для антивирусов

Evil Clippy: новый инструмент делает инфицированные файлы MS Office невидимыми для антивирусов - 1

На конференции BlackHat Asia [1] эксперты из компании Outflank показали как недокументированные возможности макросов позволяют обойти антивирусную защиту. Они создали Evil Clippy — инструмент, включающий основные техники для создания заражённых файлов. Он манипулирует файлами форматов MS Office 2003 (doc и xls) и 2007 (docm и xlsm).

С помощью Evil Clippy эксперты обошли большинство антивирусов. Для теста они взяли Cobalt Strike VBA — макрос, который находят почти все антивирусы:

Evil Clippy: новый инструмент делает инфицированные файлы MS Office невидимыми для антивирусов - 2

После применения Evil Clippy большинство антивирусов эту задачу провалило:

Evil Clippy: новый инструмент делает инфицированные файлы MS Office невидимыми для антивирусов - 3

Evil Clippy работает на уровне базовой структуры файлов и демонстрирует сразу несколько приёмов, например, VBA Stomping [2] и HTML smuggling [3], которые позволяют уклониться от антивирусной проверки: они скрывают VBA-макросы от редактора интерфейса и аналитических инструментов, устанавливает и удаляет защиту заблокированных или невидимых проектов VBA в документах Office.

Эти уязвимости возникают из-за недостатков в официальных спецификациях Microsoft по VBA-макросам (MS-OVBA). Ряд функций играет важную роль для обработки и интерпретации макросов, но не имеет описания. Имена модулей хранятся в нескольких местах, что позволяет запутывать аналитические инструменты. Сами спецификации слишком длинные и сложные, а MS Office позволяет отклоняться от них.

«Evil Clippy поднимает только часть проблем, возникающих из-за разрыва между MS-OVBA и его фактической реализацией в MS Office. Вредоносные макросы — один из самых распространенных методов заражения, поэтому правильная защита от них имеет решающее значение. Мы считаем, что отсутствие адекватного описания работы макросов в MS Office затрудняет работу поставщиков антивирусных программ и аналитиков систем безопасности. Этот пост является призывом к Microsoft изменить ситуацию лучшему», — написали эксперты в своем блоге [4].

Исходный код Evil Clippy [5] доступен на GitHub, а тем, кто занимается администрированием систем безопасности важно следовать нескольким рекомендациям:

  • макросы должны быть отключены у всех, кто с ними не работает;
  • для тех, кто с ними работает, необходимо отключить макросы [6] для файлов, скачанных из интернета;
  • должна быть включена опция уменьшения области атаки [6] (attack surface reduction);
  • необходимо использовать антивирусы, интегрированные с Antimalware Scan Interface [7].

Автор: Mimizavr

Источник [8]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/316849

Ссылки в тексте:

[1] BlackHat Asia: https://i.blackhat.com/asia-19/Thu-March-28/bh-asia-Hegt-MS-Office-in-Wonderland.pdf

[2] VBA Stomping: https://medium.com/walmartlabs/vba-stomping-advanced-maldoc-techniques-612c484ab278

[3] HTML smuggling: https://outflank.nl/blog/2018/08/14/html-smuggling-explained/

[4] написали эксперты в своем блоге: https://outflank.nl/blog/2019/05/05/evil-clippy-ms-office-maldoc-assistant/

[5] Исходный код Evil Clippy: https://github.com/outflanknl/EvilClippy

[6] отключить макросы: https://www.microsoft.com/security/blog/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

[7] Antimalware Scan Interface: https://docs.microsoft.com/en-us/windows/desktop/amsi/antimalware-scan-interface-portal

[8] Источник: https://habr.com/ru/post/450808/?utm_campaign=450808