Office vba + amsi separando o véu de macros maliciosas – gráfico de taxa de câmbio do microsco secure bitcoin

As ameaças baseadas em macro sempre foram um ponto de entrada predominante para malware, mas observamos um ressurgimento nos últimos anos. Os aprimoramentos contínuos na segurança de plataformas e aplicativos levaram ao declínio de explorações de software, e os invasores descobriram um vetor de infecção alternativa viável em ataques de engenharia social que abusam de funcionalidades como macros VBA. A Microsoft, juntamente com o restante do setor, observou que os invasores transitam de explorações para o uso de macros maliciosas para infectar endpoints. Desde então, macros mal-intencionadas apareceram em campanhas de malware de commodity, ataques direcionados e em atividades em equipe.

Para combater essa ameaça, investimos na criação de melhores mecanismos de detecção que exponham o comportamento de macro por meio da instrumentação de tempo de execução em nossas soluções de proteção contra ameaças na nuvem.


Estamos trazendo essa instrumentação diretamente para os aplicativos cliente do Office 365. Mais importante, estamos expondo esse recurso por meio do AMSI, uma interface aberta, tornando-o acessível a qualquer solução antivírus. Ofuscação e outras formas de evasão de detecção

melhor carteira de bitcoin para mac

Para evitar a detecção, o malware precisa ocultar a intenção. A maneira mais comum que os atacantes fazem isso é através da ofuscação de código. Códigos-fonte de macro são fáceis de ofuscar, e uma infinidade de ferramentas gratuitas estão disponíveis para atacantes fazerem isso automaticamente. Isso resulta em malware polimórfico, com padrões de ofuscação em evolução e múltiplas variantes ofuscadas da mesma macro mal-intencionada.

Como o antivírus e outras soluções de segurança podem lidar? Hoje, as soluções antivírus podem extrair e varrer o código-fonte da macro ofuscada de um documento do Office. Como a intenção da macro pode ser exposta? E se as soluções de segurança puderem observar o comportamento de uma macro em tempo de execução e ganhar visibilidade nas interações do sistema? Entre na integração do Office e do AMSI. AMSI no Windows 10

O AMSI também se integra aos mecanismos de script JavaScript, VBScript e PowerShell. Ao longo dos anos, temos aumentado constantemente nossos investimentos no fornecimento de soluções de segurança com uma visibilidade mais profunda das ameaças baseadas em script. Os insights vistos pela AMSI são consumidos por nossos próprios produtos de segurança. O novo Escritório e Integração AMSI é mais uma adição ao arsenal de proteção contra malware baseado em script. A Proteção Avançada contra Ameaças do Windows Defender (ATP do Windows Defender) aproveita o AMSI e o aprendizado de máquina para combater as ameaças baseadas em script que vivem fora do país (leia nosso post anterior para saber mais). Integração do Office VBA com o AMSI

ganhar de graça bitcoin velozes

A linguagem VBA oferece às macros um rico conjunto de funções que podem ser usadas para fazer interface com o sistema operacional para executar comandos, acessar o sistema de arquivos, etc. Além disso, permite a capacidade de emitir chamadas diretas para métodos COM e APIs do Win32. O mecanismo de script VBA lida com chamadas de código de macro para COM e APIs por meio de interfaces internas que implementam a transição entre o chamador e o chamado. Essas interfaces são instrumentadas de forma que o comportamento de uma macro seja capturado e todas as informações relevantes, incluindo o nome da função e seus parâmetros, sejam registradas em um buffer circular.

Quando uma função ou método potencialmente de alto risco (um acionador, por exemplo, CreateProcess ou ShellExecute) é chamado, o Office interrompe a execução da macro e solicita uma verificação do comportamento da macro registrada até o momento, por meio da interface AMSI. O provedor AMSI (por exemplo, software antivírus) é chamado de forma síncrona e retorna um veredicto indicando se o comportamento observado é malicioso ou não.

pagar por bitcoin

A lista de funções ou gatilhos de alto risco destina-se a abranger ações em vários estágios de uma cadeia de ataque (por exemplo, download de carga útil, persistência, execução etc.) e é selecionada com base em sua prevalência entre macros maliciosas e benignas. O log de comportamento enviado pelo AMSI pode incluir informações como URLs suspeitos dos quais dados maliciosos foram baixados, nomes de arquivos suspeitos conhecidos por estarem associados a malware e outros. Esses dados são valiosos para determinar se a macro é mal-intencionada, bem como para a criação de indicadores de detecção – tudo isso sem nenhuma influência da ofuscação. Parando macros maliciosas após a detecção

A seguir, um exemplo de malware de macro que “vive fora da terra”, o que significa que ele fica distante do disco e usa ferramentas comuns para executar o código diretamente na memória. Nesse caso, ele usa código de shell e páginas dinâmicas. Como no exemplo anterior, esse ataque usa engenharia social para fazer com que os usuários cliquem em “Ativar conteúdo” e executem o código de macro, mas este usa instruções no idioma espanhol no Excel.

Na proteção antivírus oferecida na nuvem do Windows Defender AV, a integração do Office VBA e do AMSI enriquece os sinais enviados para a nuvem, onde várias camadas de modelos de aprendizado de máquina classificam e fazem veredictos em arquivos. Quando os dispositivos encontram documentos com código de macro suspeito, o Windows Defender AV envia metadados e outros recursos de aprendizado de máquina, juntamente com sinais de Escritório AMSI, para a nuvem. Veredictos por aprendizado de máquina se traduzem em proteção em tempo real para o restante proteção do Windows Clientes AV com proteção de nuvem ativada.

Essa proteção também é fornecida para o restante dos clientes do Microsoft 365. Por meio do Microsoft Intelligent Security Graph, os sinais de segurança são compartilhados entre os componentes da proteção contra ameaças do Microsoft 365. Por exemplo, no caso de malware de macro, detecções de documentos mal-intencionados proteção do Windows Os AV são compartilhados com o Office 365 ATP, que bloqueia emails que transportam o documento, interrompendo ataques antes que os documentos caiam nas caixas de correio dos usuários.

Dentro de algumas semanas após o lançamento desta nova instrumentação no Office VBA e a adoção pelo Windows Defender ATP, vimos esse efeito multiplicador, com sinais de algumas centenas de dispositivos protegendo várias dezenas de milhares de dispositivos. Porque Escritório AMSI O recurso expõe comportamentos da macro, independentemente do conteúdo, linguagem ou ofuscação, sinais de uma parte do mundo podem se traduzir em proteção para o resto do mundo – isso é poderoso. Disponibilidade

Comprar bitcoins instantaneamente com cartão de débito

O malware baseado em macro evolui continuamente e apresenta desafios na detecção usando técnicas como evasão de sandbox e ofuscação de código. Interface de verificação de antimalware (AMSIA integração de) com aplicativos do Office 365 permite a verificação em tempo de execução de macros, expondo intenções maliciosas mesmo com ofuscação pesada. Esse aprimoramento mais recente do Office 365 permite que modernas plataformas de segurança de terminal, como o Windows Defender ATP, derrotem as ameaças baseadas em macro.

Instrumentação de código e monitoramento de tempo de execução são ferramentas poderosas para proteção contra ameaças. Combinados com a varredura em tempo de execução via AMSI, eles permitem que o antivírus e outras soluções de segurança tenham maior visibilidade do comportamento em tempo de execução de uma sessão de execução de macro em um nível muito granular, ignorando também a ofuscação de código. Isso permite que as soluções antivírus (1) detectem uma ampla variedade de malwares mutados ou ofuscados que exibem o mesmo comportamento usando um conjunto menor, mas mais eficiente de algoritmos de detecção, e (2) imponham restrições mais granulares sobre o que as macros podem fazer em tempo de execução .

Além disso, a proteção AMSI não está limitada a macros. Outros mecanismos de script, como JavaScript, VBScript e PowerShell, também implementam uma forma de instrumentação de código e interface com o AMSI. Ataques com múltiplos estágios que usam scripts diferentes serão examinados pelo AMSI em cada etapa, expondo todos os comportamentos e permitindo a detecção por antivírus e outras soluções.