证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

危险的套娃:攻击者在 PDF 文件中隐藏恶意Word 文档

据BleepingComputer消息,日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击,能将恶意 Word 文件嵌入 PDF 来绕过安全检测。

危险的套娃:攻击者在 PDF 文件中隐藏恶意Word 文档

发布时间:2023-08-29
浏览次数:2828
分享:

据BleepingComputer消息,日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击,能将恶意 Word 文件嵌入 PDF 来绕过安全检测。

JPCERT采样了一种多格式文件,能被大多数扫描引擎和工具识别为 PDF,但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。多格式文件是包含两种不同格式的文件,这些文件格式可根据打开它们的应用程序生成多种文件类型并执行。

通常,攻击者使用多格式来逃避检测或迷惑分析工具,因为这些文件在一种格式中可能看起来安全,而在另一种格式中隐藏恶意代码。

在JPCERT的分析结果中,PDF 文档包含一个带有 VBS 宏的 Word 文档,如果在 Microsoft Office 中以 .doc 文件形式打开,则可以下载并安装 MSI 恶意软件文件,但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。

需要注意,PDF 中的 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置,用户需要通过点击相应设置或解锁文件来手动禁用。

JPCERT 表示,虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事,但攻击者部署多格式文件来逃避检测的情况已时有发生。

对于攻击者来说,PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具(如 "pdfid")或其他自动分析工具的检测,这些工具只会检查文件外层看似正常的结构。

JPCERT给出的解决办法是采用多层防御和丰富的检测集,“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外,他们还分享了一条 Yara 规则,即检查文件是否以 PDF 签名开头,并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式,这与 JPCERT 在野外发现的规避技术一致。

网络威胁无处不在,做好防范至关重要,当下局势安全人才短缺,高薪行业欢迎您的加入,CCRC-ISTE物联网安全技术工程师(开课时间:9月18日-9月22日)9月开课计划已出,详情请咨询~

参考链接:https://www.freebuf.com/news/376435.html

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注