Evil Clippy делает инфицированные документы Microsoft Office скрытыми от детектирования антивирусами
Исследователи безопасности выпустили новый инструмент, который затрудняет обнаружение вредоносного макроса в документах Microsoft Office.
Получившее название Evil Clippy, инструмент изменяет документы Office на уровне форматов файлов, чтобы исключать вредоносные файлы от проверки антивирусами и утилитами.
Для этого используются недокументированные функции, неясные спецификации и отклонения от запланированных реализаций.
Исследователи из голландской компании по тестированию безопасности Outflank разработали Evil Clippy для детального изучения возможных атак на клиентские организации. Инструмент работает на Windows, MacOS и Linux.
Инструмент можно использовать с форматами документов для Microsoft Office 97 - 2003 (.DOC и .XLS) и 2007 и выше (.DOCM и .XLSM, которые в основном представляют собой контейнеры ZIP и поставляются с включенными макросами). Все эти типы файлов используют двоичный формат составного файла (CFBF), а программа Outflank модифицирует его с помощью библиотеки OpenMCDF.
Одна из техник, которую Evil Clippy использует для генерации малвардока, - это «VBA stomping», метод, подробно описанный командой безопасности Walmart, с помощью которого исходный код сценария VBA можно заменить скомпилированной версией для механизма VBA, называемой псевдокодом, или p-code.
Эксперт Infosec Веселин Бончев публично рассказал, что сценарии VBA могут выполняться во время выполнения в трех формах, причем p-code является наиболее популярным.
В целях совместимости в файлах Office существует сжатая версия исходного кода макроса. Но до тех пор, пока в приложении Office, которое его открывает, существует та же версия механизма VBA, которая использовалась для создания сценария, выполняется p-code, даже при отсутствии исходного кода.
«На самом деле, даже когда вы открываете источник макромодуля в редакторе VBA, отображается не распакованный исходный код, а p-код, декомпилированный в исходный код», - объясняет Бончев.
Исследователи Outflank объясняют в техническом описании инструмента, что общие инструменты анализа VBA (OleVBA, OleDump или VirusTotal) фокусируются на исходном коде. Если присутствует только p-code, они даже не обнаружат присутствие макрос-скрипта.
Злоумышленнику необходимо знать версию Microsoft Office на целевом компьютере. Это небольшая проблема в целевой атаке, где разведка является первым этапом операции.
Более того, Evil Clippy предлагает решение через малвардок, хранящийся на удаленном сервере, который распознает версию Office, которую жертва использует для извлечения мальдока, и немедленно применяет исправление для обеспечения совместимости.
Еще одна проблема в том, что механизм VBA восстанавливает исходный код макроса после запуска p-code, чтобы показать его во встроенном редакторе. Уловка Evil Clippy для этого заключается в том, чтобы изменить файл конфигурации документа, который содержит свойства проекта VBA. Альтернатива - пометить проект как заблокированный и запретить доступ к коду макроса.
Дополнительный метод состоит в том, чтобы запутать средства безопасности, которые смотрят на уровень формата файла. Утилита Бончева "pcodedmp", которая извлекает p-code; чтобы препятствовать анализу, Evil Clippy использует случайный ASCII для имен модулей в проекте VBA, что приводит к сбою инструментов анализа с ошибкой «файл не найден».
Из-за растущего злоупотребления макросами Microsoft отключает их по умолчанию во всем пакете Office. Эта функция дает огромные преимущества, поэтому ее можно включить, когда пользователи решат доверить источнику документа.
Эта мера не искоренила злонамеренное использование и только привела к тому, что киберпреступники развили навыки социальной инженерии, чтобы заманить жертв к включению макросов и загрузке вредоносных программ.
Актеры угроз всех уровней и рангов продолжают использовать эту функцию с разной степенью успеха. Хорошо продуманное электронное письмо, рекламирующее заманчивый документ со встроенным вредоносным макросом, является хорошей ловушкой для ничего не подозревающих жертв.
Метод был замечен с Трикботом и Эмотетом. Группы кибершпионажа, такие как DarkHydrus и печально известный Fancy Bear (a.k.a. APT28, APT28), также полагаются на эту технику для компрометации своих целей.
Outflank выпустил Evil Clippy на BlackHat Asia в марте, и его исходный код общедоступен. Его также можно скачать в двоичном формате.
оригинал статьи на английском здесь:
https://www.bleepingcomputer.com/news/security/evil-clippy-makes-malicious-office-docs-that-dodge-detection/
+
статья на Хабре
https://habr.com/ru/news/t/450808/
Получившее название Evil Clippy, инструмент изменяет документы Office на уровне форматов файлов, чтобы исключать вредоносные файлы от проверки антивирусами и утилитами.
Для этого используются недокументированные функции, неясные спецификации и отклонения от запланированных реализаций.
Исследователи из голландской компании по тестированию безопасности Outflank разработали Evil Clippy для детального изучения возможных атак на клиентские организации. Инструмент работает на Windows, MacOS и Linux.
Инструмент можно использовать с форматами документов для Microsoft Office 97 - 2003 (.DOC и .XLS) и 2007 и выше (.DOCM и .XLSM, которые в основном представляют собой контейнеры ZIP и поставляются с включенными макросами). Все эти типы файлов используют двоичный формат составного файла (CFBF), а программа Outflank модифицирует его с помощью библиотеки OpenMCDF.
Одна из техник, которую Evil Clippy использует для генерации малвардока, - это «VBA stomping», метод, подробно описанный командой безопасности Walmart, с помощью которого исходный код сценария VBA можно заменить скомпилированной версией для механизма VBA, называемой псевдокодом, или p-code.
Эксперт Infosec Веселин Бончев публично рассказал, что сценарии VBA могут выполняться во время выполнения в трех формах, причем p-code является наиболее популярным.
В целях совместимости в файлах Office существует сжатая версия исходного кода макроса. Но до тех пор, пока в приложении Office, которое его открывает, существует та же версия механизма VBA, которая использовалась для создания сценария, выполняется p-code, даже при отсутствии исходного кода.
«На самом деле, даже когда вы открываете источник макромодуля в редакторе VBA, отображается не распакованный исходный код, а p-код, декомпилированный в исходный код», - объясняет Бончев.
Исследователи Outflank объясняют в техническом описании инструмента, что общие инструменты анализа VBA (OleVBA, OleDump или VirusTotal) фокусируются на исходном коде. Если присутствует только p-code, они даже не обнаружат присутствие макрос-скрипта.
Злоумышленнику необходимо знать версию Microsoft Office на целевом компьютере. Это небольшая проблема в целевой атаке, где разведка является первым этапом операции.
Более того, Evil Clippy предлагает решение через малвардок, хранящийся на удаленном сервере, который распознает версию Office, которую жертва использует для извлечения мальдока, и немедленно применяет исправление для обеспечения совместимости.
Еще одна проблема в том, что механизм VBA восстанавливает исходный код макроса после запуска p-code, чтобы показать его во встроенном редакторе. Уловка Evil Clippy для этого заключается в том, чтобы изменить файл конфигурации документа, который содержит свойства проекта VBA. Альтернатива - пометить проект как заблокированный и запретить доступ к коду макроса.
Дополнительный метод состоит в том, чтобы запутать средства безопасности, которые смотрят на уровень формата файла. Утилита Бончева "pcodedmp", которая извлекает p-code; чтобы препятствовать анализу, Evil Clippy использует случайный ASCII для имен модулей в проекте VBA, что приводит к сбою инструментов анализа с ошибкой «файл не найден».
Из-за растущего злоупотребления макросами Microsoft отключает их по умолчанию во всем пакете Office. Эта функция дает огромные преимущества, поэтому ее можно включить, когда пользователи решат доверить источнику документа.
Эта мера не искоренила злонамеренное использование и только привела к тому, что киберпреступники развили навыки социальной инженерии, чтобы заманить жертв к включению макросов и загрузке вредоносных программ.
Актеры угроз всех уровней и рангов продолжают использовать эту функцию с разной степенью успеха. Хорошо продуманное электронное письмо, рекламирующее заманчивый документ со встроенным вредоносным макросом, является хорошей ловушкой для ничего не подозревающих жертв.
Метод был замечен с Трикботом и Эмотетом. Группы кибершпионажа, такие как DarkHydrus и печально известный Fancy Bear (a.k.a. APT28, APT28), также полагаются на эту технику для компрометации своих целей.
Outflank выпустил Evil Clippy на BlackHat Asia в марте, и его исходный код общедоступен. Его также можно скачать в двоичном формате.
оригинал статьи на английском здесь:
https://www.bleepingcomputer.com/news/security/evil-clippy-makes-malicious-office-docs-that-dodge-detection/
+
статья на Хабре
https://habr.com/ru/news/t/450808/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.