На конференции BlackHat Asia эксперты из компании Outflank показали как недокументированные возможности макросов позволяют обойти антивирусную защиту. Они создали Evil Clippy — инструмент, включающий основные техники для создания заражённых файлов. Он манипулирует файлами форматов MS Office 2003 (doc и xls) и 2007 (docm и xlsm).

С помощью Evil Clippy эксперты обошли большинство антивирусов. Для теста они взяли Cobalt Strike VBA — макрос, который находят почти все антивирусы:


После применения Evil Clippy большинство антивирусов эту задачу провалило:


Evil Clippy работает на уровне базовой структуры файлов и демонстрирует сразу несколько приёмов, например, VBA Stomping и HTML smuggling, которые позволяют уклониться от антивирусной проверки: они скрывают VBA-макросы от редактора интерфейса и аналитических инструментов, устанавливает и удаляет защиту заблокированных или невидимых проектов VBA в документах Office.

Эти уязвимости возникают из-за недостатков в официальных спецификациях Microsoft по VBA-макросам (MS-OVBA). Ряд функций играет важную роль для обработки и интерпретации макросов, но не имеет описания. Имена модулей хранятся в нескольких местах, что позволяет запутывать аналитические инструменты. Сами спецификации слишком длинные и сложные, а MS Office позволяет отклоняться от них.

«Evil Clippy поднимает только часть проблем, возникающих из-за разрыва между MS-OVBA и его фактической реализацией в MS Office. Вредоносные макросы — один из самых распространенных методов заражения, поэтому правильная защита от них имеет решающее значение. Мы считаем, что отсутствие адекватного описания работы макросов в MS Office затрудняет работу поставщиков антивирусных программ и аналитиков систем безопасности. Этот пост является призывом к Microsoft изменить ситуацию лучшему», — написали эксперты в своем блоге.

Исходный код Evil Clippy доступен на GitHub, а тем, кто занимается администрированием систем безопасности важно следовать нескольким рекомендациям:

  • макросы должны быть отключены у всех, кто с ними не работает;
  • для тех, кто с ними работает, необходимо отключить макросы для файлов, скачанных из интернета;
  • должна быть включена опция уменьшения области атаки (attack surface reduction);
  • необходимо использовать антивирусы, интегрированные с Antimalware Scan Interface.

Комментарии (1)


  1. hippohood
    08.05.2019 10:31
    +1

    макросы должны быть отключены у всех, кто с ними не работает;
    для тех, кто с ними работает, необходимо отключить макросы для файлов, скачанных из интернета;

    Это замечательные рекомендации конечно. А потом у конечных пользователей возникают неразрешимые проблемы когда они пытаются сформировать какой-нибудь отчёт, который нужен раз в год. И который почему-то запускается только у каждого пятого. Все из-за того что они скачали этот макет с корпоративного (или государственного) сайта. А потом жалуются на тупых пользователей.


    Можно тогда сразу рекомендовать удалить Офис, или даже компьютер — пусть пользователь сначала докажет что он ему нужен, таблички модель и на калькуляторе считать