危險(xiǎn)的套娃:攻擊者在 PDF 文件中隱藏惡意Word 文檔
據(jù)BleepingComputer消息,日本計(jì)算機(jī)緊急響應(yīng)小組 (JPCERT) 日前分享了在2023 年 7 月檢測(cè)到的利用PDF文檔的新型攻擊——PDF MalDoc攻擊,能將惡意 Word 文件嵌入 PDF 來繞過安全檢測(cè)。
JPCERT采樣了一種多格式文件,能被大多數(shù)掃描引擎和工具識(shí)別為 PDF,但辦公應(yīng)用程序可以將其作為常規(guī) Word 文檔 (.doc) 打開。多格式文件是包含兩種不同文件格式的文件,這些文件格式可根據(jù)打開它們的應(yīng)用程序解釋為多種文件類型并執(zhí)行。
通常,攻擊者使用多格式來逃避檢測(cè)或迷惑分析工具,因?yàn)檫@些文件在一種格式中可能看起來安全,而在 另一種格式中隱藏惡意代碼。
在JPCERT的分析結(jié)果中,PDF 文檔包含一個(gè)帶有 VBS 宏的 Word 文檔,如果在 Microsoft Office 中以 .doc 文件形式打開,則可以下載并安裝 MSI 惡意軟件文件,但JPCERT并未透露有關(guān)安裝的惡意軟件類型的任何詳細(xì)信息。
需要注意,PDF 中的 MalDoc 無法繞過 Microsoft Office 上禁止自動(dòng)執(zhí)行宏的安全設(shè)置,用戶需要通過點(diǎn)擊相應(yīng)設(shè)置或解鎖文件來手動(dòng)禁用。
JPCERT 表示,雖然將一種文件類型嵌入另一種文件類型并不是什么新鮮事,但攻擊者部署多格式文件來逃避檢測(cè)的情況已時(shí)有發(fā)生。
對(duì)于攻擊者來說,PDF 中MalDoc 的主要優(yōu)勢(shì)在于能夠躲避傳統(tǒng) PDF 分析工具(如 "pdfid")或其他自動(dòng)分析工具的檢測(cè),這些工具只會(huì)檢查文件外層看似正常的結(jié)構(gòu)。
JPCERT給出的解決辦法是采用多層防御和豐富的檢測(cè)集,“OLEVBA”等其他分析工具仍然可以檢測(cè)隱藏在多語言中的惡意內(nèi)容。此外,他們還分享了一條 Yara 規(guī)則,即檢查文件是否以 PDF 簽名開頭,并包含指示 Word 文檔、Excel 工作簿或 MHT 文件的模式,這與 JPCERT 在野外發(fā)現(xiàn)的規(guī)避技術(shù)一致。