VBA Stomping
VBA Stomping
Alexander Antipov
техника запуска VBA-макросов в документах Office. Суть техники заключается в удалении/модификации (или заполнении нулями) исходного VBA-кода в теле офисного документа, оставляя нетронутым скомпилированный код макроса, называемый p-кодом. VBA-код и его скомпилированная версия располагаются внутри файла vbaProject.bin, находящегося в zip-архиве (файл с расширением .docm, .xslm). Таким образом, техника сводится к удалению/заполнению нулями части файла vbaProject.bin.
В результате документ не вызывает подозрений у антивирусов, анализирующих макрос только по его исходному коду. Также данная техника позволяет затруднить анализ файла, поскольку ни один инструмент, не прибегая к декомпиляции, не сможет извлечь исходный код VBA, который также не будет отображаться в редакторе макросов Office до его разрешения.
В результате документ не вызывает подозрений у антивирусов, анализирующих макрос только по его исходному коду. Также данная техника позволяет затруднить анализ файла, поскольку ни один инструмент, не прибегая к декомпиляции, не сможет извлечь исходный код VBA, который также не будет отображаться в редакторе макросов Office до его разрешения.
Устали от того, что Интернет знает о вас все?
APT-группа Evilnum возвращается с новой атакой на миграционные компании
Европейские организации стали жертвами хитрой вредоносной кампании