Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут скрывать вредоносные полезные нагрузки Visual Basic for Applications (VBA), встроенные в документы MS Office, заменяя исходный код VBA на доброкачественные данные.(Цитата: FireEye VBA stomp Feb 2020)
Документы MS Office со встроенным содержимым VBA хранят исходный код внутри потоков модулей. Каждый поток модулей имеет PerformanceCache, который хранит отдельную скомпилированную версию исходного кода VBA, известную как p-код. p-код выполняется, когда версия MS Office, указанная в потоке _VBA_PROJECT (который содержит описание проекта VBA в зависимости от версии), совпадает с версией главного приложения MS Office.(Цитата: Evil Clippy May 2019)(Цитата: Microsoft _VBA_PROJECT Stream)
Злоумышленник может скрыть вредоносный код VBA, перезаписав местоположение исходного кода VBA нулями, доброкачественным кодом или случайными байтами, оставив при этом ранее скомпилированный вредоносный p-код. Инструменты, сканирующие вредоносный исходный код VBA, могут быть обойдены, поскольку нежелательный код скрыт в скомпилированном p-коде. Если исходный код VBA удален, некоторые инструменты могут даже подумать, что макросы отсутствуют.Если между потоком _VBA_PROJECT и хостовым приложением MS Office есть соответствие версии, p-код будет выполнен, в противном случае доброкачественный исходный код VBA будет распакован и перекомпилирован в p-код, что позволит удалить вредоносный p-код и потенциально обойти динамический анализ.(Цитата: Walmart Roberts Oct 2018)(Цитата: FireEye VBA stomp Feb 2020)(Цитата: pcodedmp Bontchev)
https://attack.mitre.org/techniques/T1564/007
Визуализация смежных техник для T1564.007
| № | Техника |
|---|
