Истина где-то ниже
Сентябрь 18, 2018

Макросы в документах Office 365 проверят на лету

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

В пакет Office 365 добавлена поддержка Antimalware Scan Interface (AMSI) — открытого API, предназначенного для обнаружения вредоносных макросов в документах, открытых пользователем. Он позволяет антивирусам и другим инструментам безопасности проверять встроенные в файлы скрипты непосредственно во время выполнения и оперативно останавливать их работу в случае обнаружения подозрительной активности.

Компания Microsoft представила AMSI в 2015 году в качестве инструмента безопасности оболочки PowerShell. С тех пор разработчики добавили в него поддержку JavaScript, VBScript и,наконец, Office VBA. Движок выполняет функции посредника между документами, содержащими макросы, и антивирусными программами. Как сообщают авторы, процесс проверки выполняется втри этапа.

Сначала AMSI протоколирует работу скрипта, записывая в лог все значимые показатели его работы, такие как имена вызываемых функций и передаваемые им параметры. В случае если во время исполнения макроса встречаются потенциально опасные команды, такие как CreateProcess или ShellExecute, система приостанавливает его работу и передает инцидент на рассмотрение антивирусной программе. На финальной стадии взаимодействия система защиты выносит свой вердикт, в зависимости от которого встроенная в документ подпрограмма продолжает работу или блокируется.

Как подчеркивают авторы, подобная проверка скриптов «на лету» позволяет эффективно бороться с обфускацией кода, которую злоумышленники применяют для маскировки своих скриптов. Кроме того, программа способна обнаруживать небольшие вредоносные фрагменты, спрятанные в тексте легитимных макросов.

Специалисты Microsoft продемонстрировали работоспособность утилиты на примере документов Word и Excel, один из которых содержал сильно обфусцированный код, а в другой был внедрен бестелесный макрос. И в том, и в другом случае средства AMSI помогли остановить выполнение зловреда.

Интерфейс сканирования вредоносной активности встроен в Windows 10 и доступен всем приложениям по запросу. Продукт добавлен и включен по умолчанию во все компоненты Office 365.

Как пояснили создатели программы, AMSI будет проверять все выполняемые макросы, за исключением:

  •          Документов, открытых при активированном режиме «Включить все макросы».
  •          Документов, полученных из надежных источников.<
  •          Файлов, имеющих статус надежных документов.
  •          Файлов, отмеченных цифровой подписью доверенного издателя.

Интеграция с AMSI поможет детектировать даже вредоносные скрипты, эксплуатирующие уже известные уязвимости Office, — такие как макрос, доставлявший новую версию банковского трояна Kronos.

Как выяснилось, вредоносная программа загружалась через документ, использующий баг в редакторе формул, встроенном в офисный пакет. Действия злоумышленников были нацелены на хищение учетных данных и перехват финансовой информации жертвы.

Источник: https://threatpost.ru/office-365-introduces-amsi-to-protect-users-from-macros-malware/28241/