Evil Clippy: новый инструмент делает инфицированные файлы MS Office невидимыми для антивирусов07.05.2019 12:17

owynv8kjrdzjdpj3vqgzht3nqpc.png

На конференции BlackHat Asia эксперты из компании Outflank показали как недокументированные возможности макросов позволяют обойти антивирусную защиту. Они создали Evil Clippy — инструмент, включающий основные техники для создания заражённых файлов. Он манипулирует файлами форматов MS Office 2003 (doc и xls) и 2007 (docm и xlsm).
С помощью Evil Clippy эксперты обошли большинство антивирусов. Для теста они взяли Cobalt Strike VBA — макрос, который находят почти все антивирусы:
gd_6ndplnb7olmd3vbz_8khhgm8.png

После применения Evil Clippy большинство антивирусов эту задачу провалило:
xp7mmahucmq03ehlgbydam4dzc0.png

Evil Clippy работает на уровне базовой структуры файлов и демонстрирует сразу несколько приёмов, например, VBA Stomping и HTML smuggling, которые позволяют уклониться от антивирусной проверки: они скрывают VBA-макросы от редактора интерфейса и аналитических инструментов, устанавливает и удаляет защиту заблокированных или невидимых проектов VBA в документах Office.

Эти уязвимости возникают из-за недостатков в официальных спецификациях Microsoft по VBA-макросам (MS-OVBA). Ряд функций играет важную роль для обработки и интерпретации макросов, но не имеет описания. Имена модулей хранятся в нескольких местах, что позволяет запутывать аналитические инструменты. Сами спецификации слишком длинные и сложные, а MS Office позволяет отклоняться от них.

«Evil Clippy поднимает только часть проблем, возникающих из-за разрыва между MS-OVBA и его фактической реализацией в MS Office. Вредоносные макросы — один из самых распространенных методов заражения, поэтому правильная защита от них имеет решающее значение. Мы считаем, что отсутствие адекватного описания работы макросов в MS Office затрудняет работу поставщиков антивирусных программ и аналитиков систем безопасности. Этот пост является призывом к Microsoft изменить ситуацию лучшему», — написали эксперты в своем блоге.

Исходный код Evil Clippy доступен на GitHub, а тем, кто занимается администрированием систем безопасности важно следовать нескольким рекомендациям:

  • макросы должны быть отключены у всех, кто с ними не работает;
  • для тех, кто с ними работает, необходимо отключить макросы для файлов, скачанных из интернета;
  • должна быть включена опция уменьшения области атаки (attack surface reduction);
  • необходимо использовать антивирусы, интегрированные с Antimalware Scan Interface.

© Habrahabr.ru