據(jù)BleepingComputer消息，日本計(jì)算機(jī)緊急響應(yīng)小組 (JPCERT) 日前分享了在2023 年 7 月檢測(cè)到的利用PDF文檔的新型攻擊——PDF MalDoc攻擊，能將惡意 Word 文件嵌入 PDF 來繞過安全檢測(cè)。

JPCERT采樣了一種多格式文件，能被大多數(shù)掃描引擎和工具識(shí)別為 PDF，但辦公應(yīng)用程序可以將其作為常規(guī) Word 文檔 (.doc) 打開。多格式文件是包含兩種不同文件格式的文件，這些文件格式可根據(jù)打開它們的應(yīng)用程序解釋為多種文件類型并執(zhí)行。

通常，攻擊者使用多格式來逃避檢測(cè)或迷惑分析工具，因?yàn)檫@些文件在一種格式中可能看起來安全，而在 另一種格式中隱藏惡意代碼。

在JPCERT的分析結(jié)果中，PDF 文檔包含一個(gè)帶有 VBS 宏的 Word 文檔，如果在 Microsoft Office 中以 .doc 文件形式打開，則可以下載并安裝 MSI 惡意軟件文件，但JPCERT并未透露有關(guān)安裝的惡意軟件類型的任何詳細(xì)信息。

需要注意，PDF 中的 MalDoc 無法繞過 Microsoft Office 上禁止自動(dòng)執(zhí)行宏的安全設(shè)置，用戶需要通過點(diǎn)擊相應(yīng)設(shè)置或解鎖文件來手動(dòng)禁用。

JPCERT 表示，雖然將一種文件類型嵌入另一種文件類型并不是什么新鮮事，但攻擊者部署多格式文件來逃避檢測(cè)的情況已時(shí)有發(fā)生。

對(duì)于攻擊者來說，PDF 中MalDoc 的主要優(yōu)勢(shì)在于能夠躲避傳統(tǒng) PDF 分析工具（如 "pdfid"）或其他自動(dòng)分析工具的檢測(cè)，這些工具只會(huì)檢查文件外層看似正常的結(jié)構(gòu)。

JPCERT給出的解決辦法是采用多層防御和豐富的檢測(cè)集，“OLEVBA”等其他分析工具仍然可以檢測(cè)隱藏在多語言中的惡意內(nèi)容。此外，他們還分享了一條 Yara 規(guī)則，即檢查文件是否以 PDF 簽名開頭，并包含指示 Word 文檔、Excel 工作簿或 MHT 文件的模式，這與 JPCERT 在野外發(fā)現(xiàn)的規(guī)避技術(shù)一致。