Evil Clippy: новый инструмент делает инфицированные файлы MS Office невидимыми для антивирусов

owynv8kjrdzjdpj3vqgzht3nqpc.png

На конференции BlackHat Asia эксперты из компании Outflank показали как недокументированные возможности макросов позволяют обойти антивирусную защиту. Они создали Evil Clippy — инструмент, включающий основные техники для создания заражённых файлов. Он манипулирует файлами форматов MS Office 2003 (doc и xls) и 2007 (docm и xlsm).
С помощью Evil Clippy эксперты обошли большинство антивирусов. Для теста они взяли Cobalt Strike VBA — макрос, который находят почти все антивирусы:
gd_6ndplnb7olmd3vbz_8khhgm8.png

После применения Evil Clippy большинство антивирусов эту задачу провалило:
xp7mmahucmq03ehlgbydam4dzc0.png

Evil Clippy работает на уровне базовой структуры файлов и демонстрирует сразу несколько приёмов, например, VBA Stomping и HTML smuggling, которые позволяют уклониться от антивирусной проверки: они скрывают VBA-макросы от редактора интерфейса и аналитических инструментов, устанавливает и удаляет защиту заблокированных или невидимых проектов VBA в документах Office.

Эти уязвимости возникают из-за недостатков в официальных спецификациях Microsoft по VBA-макросам (MS-OVBA). Ряд функций играет важную роль для обработки и интерпретации макросов, но не имеет описания. Имена модулей хранятся в нескольких местах, что позволяет запутывать аналитические инструменты. Сами спецификации слишком длинные и сложные, а MS Office позволяет отклоняться от них.

«Evil Clippy поднимает только часть проблем, возникающих из-за разрыва между MS-OVBA и его фактической реализацией в MS Office. Вредоносные макросы — один из самых распространенных методов заражения, поэтому правильная защита от них имеет решающее значение. Мы считаем, что отсутствие адекватного описания работы макросов в MS Office затрудняет работу поставщиков антивирусных программ и аналитиков систем безопасности. Этот пост является призывом к Microsoft изменить ситуацию лучшему», — написали эксперты в своем блоге.

Исходный код Evil Clippy доступен на GitHub, а тем, кто занимается администрированием систем безопасности важно следовать нескольким рекомендациям:

  • макросы должны быть отключены у всех, кто с ними не работает;
  • для тех, кто с ними работает, необходимо отключить макросы для файлов, скачанных из интернета;
  • должна быть включена опция уменьшения области атаки (attack surface reduction);
  • необходимо использовать антивирусы, интегрированные с Antimalware Scan Interface.

© Habrahabr.ru