# DET0012 — Detection Strategy for VBA Stomping ## Descrição Esta estratégia detecta a técnica de VBA Stomping, na qual o código-fonte VBA de um documento Office malicioso é substituído por código benigno (ou removido), enquanto o p-code compilado — que é efetivamente executado pelo interpretador VBA — permanece malicioso. Ferramentas de análise estática de macros que leem apenas o código-fonte são enganadas, enquanto o Office executa o p-code sem mostrar o verdadeiro conteúdo ao analista. A discrepância entre o código-fonte VBA visível e o p-code compilado armazenado no stream `_VBA_PROJECT` do arquivo OLE é a assinatura central desta técnica. Documentos legítimos raramente apresentam essa inconsistência, pois são criados por editores VBA padrão que mantêm ambos em sincronismo. Ferramentas de análise de macros com capacidade de inspecionar p-code (como `pcode2code`, `olevba` com flag `--pcode`) e sandboxes de documentos que executam e monitoram comportamento são as principais fontes de detecção. ## Indicadores de Detecção - Discrepância entre código-fonte VBA no stream `_VBA_PROJECT` e p-code compilado correspondente - Código-fonte VBA ausente ou vazio enquanto p-code compilado está presente e não trivial - Hash do p-code diferente do esperado para o código-fonte visível - Documento com macro que executa código ao abrir mas cujo código-fonte aparece como comentário ou stub - Tamanho do stream p-code desproporcional ao código-fonte declarado ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] ## Analytics Relacionadas - [[an0034-analytic-0034|AN0034 — Analytic 0034]] - [[an0035-analytic-0035|AN0035 — Analytic 0035]] - [[an0036-analytic-0036|AN0036 — Analytic 0036]] --- *Fonte: [MITRE ATT&CK — DET0012](https://attack.mitre.org/detectionstrategies/DET0012)*