据bleepingcomputer消息,日本计算机紧急响应小组 (jpcert) 日前分享了在2023 年 7 月检测到的利用pdf文档的新型攻击——pdf maldoc攻击,能将恶意 word 文件嵌入 pdf 来绕过安全检测。
jpcert采样了一种多格式文件,能被大多数扫描引擎和工具识别为 pdf,但办公应用程序可以将其作为常规 word 文档 (.doc) 打开。多格式文件是包含两种不同格式的文件,这些文件格式可根据打开它们的应用程序生成多种文件类型并执行。
通常,攻击者使用多格式来逃避检测或迷惑分析工具,因为这些文件在一种格式中可能看起来安全,而在另一种格式中隐藏恶意代码。
在jpcert的分析结果中,pdf 文档包含一个带有 vbs 宏的 word 文档,如果在 microsoft office 中以 .doc 文件形式打开,则可以下载并安装 msi 恶意软件文件,但jpcert并未透露有关安装的恶意软件类型的任何详细信息。
需要注意,pdf 中的 maldoc 无法绕过 microsoft office 上禁止自动执行宏的安全设置,用户需要通过点击相应设置或解锁文件来手动禁用。
jpcert 表示,虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事,但攻击者部署多格式文件来逃避检测的情况已时有发生。
对于攻击者来说,pdf 中maldoc 的主要优势在于能够躲避传统 pdf 分析工具(如 "pdfid")或其他自动分析工具的检测,这些工具只会检查文件外层看似正常的结构。
jpcert给出的解决办法是采用多层防御和丰富的检测集,“olevba”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外,他们还分享了一条 yara 规则,即检查文件是否以 pdf 签名开头,并包含指示 word 文档、excel 工作簿或 mht 文件的模式,这与 jpcert 在野外发现的规避技术一致。
网络威胁无处不在,做好防范至关重要,当下局势安全人才短缺,高薪行业欢迎您的加入,ccrc-iste物联网安全技术工程师(开课时间:9月18日-9月22日)9月开课计划已出,详情请咨询~
参考链接:https://www.freebuf.com/news/376435.html