偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

危險(xiǎn)的套娃:攻擊者在 PDF 文件中隱藏惡意Word 文檔

安全
利用PDF文檔的新型攻擊——PDF MalDoc攻擊,通過將惡意 Word 文件嵌入 PDF 來繞過安全檢測。

據(jù)BleepingComputer消息,日本計(jì)算機(jī)緊急響應(yīng)小組 (JPCERT) 日前分享了在2023 年 7 月檢測到的利用PDF文檔的新型攻擊——PDF MalDoc攻擊,能將惡意 Word 文件嵌入 PDF 來繞過安全檢測。

JPCERT采樣了一種多格式文件,能被大多數(shù)掃描引擎和工具識別為 PDF,但辦公應(yīng)用程序可以將其作為常規(guī) Word 文檔 (.doc) 打開。多格式文件是包含兩種不同文件格式的文件,這些文件格式可根據(jù)打開它們的應(yīng)用程序解釋為多種文件類型并執(zhí)行。

通常,攻擊者使用多格式來逃避檢測或迷惑分析工具,因?yàn)檫@些文件在一種格式中可能看起來安全,而在 另一種格式中隱藏惡意代碼。

在JPCERT的分析結(jié)果中,PDF 文檔包含一個(gè)帶有 VBS 宏的 Word 文檔,如果在 Microsoft Office 中以 .doc 文件形式打開,則可以下載并安裝 MSI 惡意軟件文件,但JPCERT并未透露有關(guān)安裝的惡意軟件類型的任何詳細(xì)信息。

需要注意,PDF 中的 MalDoc 無法繞過 Microsoft Office 上禁止自動(dòng)執(zhí)行宏的安全設(shè)置,用戶需要通過點(diǎn)擊相應(yīng)設(shè)置或解鎖文件來手動(dòng)禁用。

JPCERT 表示,雖然將一種文件類型嵌入另一種文件類型并不是什么新鮮事,但攻擊者部署多格式文件來逃避檢測的情況已時(shí)有發(fā)生。

對于攻擊者來說,PDF 中MalDoc 的主要優(yōu)勢在于能夠躲避傳統(tǒng) PDF 分析工具(如 "pdfid")或其他自動(dòng)分析工具的檢測,這些工具只會(huì)檢查文件外層看似正常的結(jié)構(gòu)。

JPCERT給出的解決辦法是采用多層防御和豐富的檢測集,“OLEVBA”等其他分析工具仍然可以檢測隱藏在多語言中的惡意內(nèi)容。此外,他們還分享了一條 Yara 規(guī)則,即檢查文件是否以 PDF 簽名開頭,并包含指示 Word 文檔、Excel 工作簿或 MHT 文件的模式,這與 JPCERT 在野外發(fā)現(xiàn)的規(guī)避技術(shù)一致。

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
相關(guān)推薦

2023-07-18 12:41:21

2022-07-09 16:34:42

網(wǎng)絡(luò)攻擊惡意軟件

2021-10-31 07:22:46

TikTok惡意廣告惡意軟件

2011-03-21 10:46:07

2021-11-03 12:49:25

驗(yàn)證碼網(wǎng)絡(luò)釣魚惡意軟件

2020-06-04 10:32:43

物聯(lián)網(wǎng)安全疫情

2021-05-26 05:41:42

攻擊隱藏蹤跡網(wǎng)絡(luò)安全

2014-08-20 09:44:57

2020-03-17 08:09:30

惡意軟件安全木馬

2022-02-13 23:12:34

網(wǎng)絡(luò)釣魚谷歌Google

2023-01-18 23:08:33

2024-11-08 15:27:04

2024-08-19 12:17:07

2022-08-22 11:01:37

網(wǎng)絡(luò)攻擊惡意軟件

2022-01-24 07:35:39

XLL網(wǎng)絡(luò)攻擊惡意軟件

2016-01-05 15:54:32

2023-11-10 16:14:29

2020-05-07 15:15:11

COVID-19惡意軟件網(wǎng)絡(luò)攻擊

2021-02-26 01:01:51

影子攻擊漏洞攻擊

2024-08-06 09:48:49

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號