Evil Clippy прави злонамерени документи в Office, които преодоляват детекция от софтуер за киберзащита

Evil Clippy прави злонамерени документи в Office, които преодоляват детекция от софтуер за киберзащита
evil clippy

Изследователите по сигурността съживиха и издадоха злонамерен вариант на Clippy, наскоро излязъл от употреба помощник в Microsoft Office, който всички обожавахме толкова много да мразим, което прави по-трудно откриването на зловреден макрос в документи.

Инструментът, наречен Evil Clippy, променя документите на Office на ниво файлов формат, за да изхвърли злонамерени версии, които се получават от статичния анализ на антивирусни двигатели и дори помощни програми за ръчна проверка на макро скриптове.

За да направите това, той се възползва от недокументираните характеристики, неясните спецификации и отклоненията от планираните реализации.
Макросите са откъси от кода на VBA (Visual Basic for Applications), който автоматизира задачите в приложенията на Microsoft Office. Те се използват постоянно за доставяне на зловреден софтуер, когато потребителят отвори документ.

Използване на поведението на MS Office

Изследователи от холандската компания за тестване на сигурността Outflank разработиха Evil Clippy за професионалисти, работещи срещу клиентска организация. Инструментът работи под Windows, MacOS и Linux.

Инструментът може да се използва с формати на документи за Microsoft Office 972003 (.DOC и .XLS) и 2007 и по-горе (.DOCM и .XLSM, които са основно ZIP контейнери и са с активирани макроси). Всички тези типове файлове използват Комбинирания файлов двоичен формат (CFBF), а програмата на Outflank го променя, използвайки библиотеката OpenMCDF.

Една от техниките, които Evil Clippy използва, за да генерира maldoc, е “VBA stomping”, метод, описан от екипа по сигурността на Walmart, чрез който оригиналния код на VBA скрипта може да бъде заменен от компилирана версия за VBA двигателя, наречена псевдо-код, или p накратко.

Експертът на Infosec Веселин Бончев разкри публично, че VBA скриптовете могат да се изпълняват по време на изпълнение в три форми, като p-code е най-популярният.

Компресирана версия на изходния код на макроси съществува в файловете на Office за съображения за съвместимост. Но докато една и съща версия на VBA двигателя, използвана за създаване на скрипт, съществува в приложението на Office, което го отваря, p-кодът се изпълнява и изходният код може дори да липсва.

“Всъщност, дори когато отворите източника на макромодула в VBA редактора, не се показва декомпресирания изходен код, а p-кодът се декомпилира в източник”, обяснява Бончев.

Изследователите на Outflank обясняват в техническото описание на инструмента, че общите инструменти за анализ на VBA (OleVBA, OleDump или VirusTotal) се фокусират върху изходния код. Ако е налице само p-code, те дори няма да открият наличието на макро сценарий.

Избягване на откриване, затрудняване на анализа

Това, което Evil Clippy прави, за да ги надхитри, е да замени изходния код на макроса в документ с фалшив скрипт, който не задейства сигнал. Зловредният p-код обаче се изпълнява при отваряне на модифицирания файл на Office.

Тест за файл, който редовно се открива от повече от 30 антивирусни двигателя, може да заобиколи повечето от тях, след като Evil Clippy приложи магията си.
Като малко предупреждение, нападателят трябва да знае версията на Microsoft Office на целевата машина. Това е малък проблем в целенасочена атака, когато разузнаването е първият етап от операцията.

Освен това, Evil Clippy предлага решение чрез малдок, съхраняван на отдалечен сървър, който разпознава версията на Office, която жертвата използва, за да извлече maldoc и незабавно прилага корекция, за да гарантира съвместимост. Информацията присъства в HTTP заглавката.

Друг проблем е, че VBA двигателят реконструира макроизточника, след като изпълни p-code, за да го покаже във вградения редактор. Номерът на Evil Clippy за това е да модифицира конфигурационния файл на документа, който съдържа свойствата на проекта VBA. Алтернатива е проектът да бъде маркиран като заключен и да се забрани достъпът до макрокода.

Допълнителен метод е да се объркат инструментите за сигурност, които гледат на нивото на файловия формат.Инструментът на Бончев  “pcodedmp”, който извлича p-кода; за да попречи на анализа, Evil Clippy използва произволен ASCII за имена на модули в проекта VBA, които разбиват инструментите за анализ

Maldocs са непреодолима примамка

Поради увеличената злоупотреба с макроси Microsoft ги деактивира по подразбиране в нейния Office пакет. Функцията носи огромни ползи, така че може да бъде активирана, когато потребителите решат да се доверят на източника на документа.

Тази мярка не премахна злонамереното използване и доведе само до киберпрестъпниците, които развиват умения за социален инженеринг, за да привлекат жертви към включване на макроси и да изтеглят зловреден софтуер.

Участниците на заплахи от всички нива и редици продължават да използват тази функция с различни степени на успех. Добре създадената електронна поща, насърчаваща примамлив документ, вграден със зловреден макрос, е добър капан за нищо неподозиращите жертви.

Методът е наблюдаван при Trickbot и Emotet. Кибер-шпионските групи като DarkHydrus и скандалната Fancy Bear (a.k.a. APT28, APT28) също разчитат на тази техника, за да компрометират своите цели.

Outflank пусна Evil Clippy в BlackHat Asia през март и неговият изходен код е публично достъпен. Може да се изтегли и в двоичен формат.

 

Разбира се, всички тези главоблъсканици можете да си спестите, ако си закупите  и  инсталирате Panda Adaptive Defense – единственият мощен противник на криптовирусите.

Сподели в:

Категории:

Следвай ни в: