為繞過檢測,攻擊者將惡意Word檔案嵌入到PDF檔案中
上週,日本的計算機應急響應團隊JPCERT分享了其檢測到的一種新的攻擊技術。2023年7月,JPCERT觀察到該攻擊技術並將之命名為“MalDoc in PDF”,該技術透過將惡意Word檔案嵌入到PDF檔案中來繞過檢測。
JPCERT取樣的惡意檔案是一個多語言檔案,多語言檔案指包含多種不同檔案格式的檔案,可以根據開啟它們的應用程式解釋和執行多種檔案型別。在本例中,大多數掃描引擎和工具會將其識別為PDF,但辦公應用程式可以將其作為常規的Word文件(.doc)開啟。
多語言檔案在一種格式中可能看似無害,而在另一種格式中則可能隱藏了惡意程式碼,因此駭客通常使用這類檔案來逃避檢測或混淆分析工具。在這種情況下,該PDF文件包含一個帶有VBS宏的Word文件,如果在Microsoft Office中將之作為.doc檔案開啟,則會下載並安裝一個MSI惡意軟體檔案。
“MalDoc in PDF”作為攻擊手段的主要優勢是能夠逃避傳統PDF分析工具(如“pdfid”)或其他只檢查檔案外層(即合法的PDF結構)的自動化分析工具的檢測。但另外一些分析工具(如“OLEVBA”)仍然可以檢測到多語言檔案中隱藏的惡意內容。JPCERT指出,多層次的防禦和豐富的檢測集能夠有效對抗這種威脅。
JPCERT提醒道,雖說本文描述的技術無法繞過禁用Word宏自動執行的設定,但由於這些檔案被識別為PDF檔案,現有的沙箱或防毒軟體可能無法檢測到它。所以假如正在使用一些沙箱、工具等進行自動化惡意軟體分析,需要特別注意這一點。
編輯:左右裡
資訊來源:JPCERT
轉載請註明出處和本文連結
相關文章
- Word檔案如何轉為PDF檔案,小技能分享!
- 什麼是無檔案惡意軟體攻擊?如何防禦?
- 蘋果手機如何將PDF檔案轉換為Word文件蘋果
- 微軟強制阻止使用者遮蔽Win10遙測資料;.NET庫生成惡意Excel檔案可繞過安全檢測;美16歲少年8次DDoS攻擊硬核逃課微軟Win10Excel
- 檔案上傳——客戶端檢測繞過(JavaScript檢測)(一)客戶端JavaScript
- 如何將背景音樂嵌入到PPT檔案中
- Mac電腦使用者小心!惡意攻擊程式碼被曝藏身廣告圖形檔案Mac
- 檢測檔案到末尾
- 如何將檔案PDF格式轉換成Word格式
- 黑客攻防應用:利用密碼檔案檢測攻擊黑客密碼
- PDF檔案轉換為DWF檔案
- 未修補的高危漏洞影響Apple mac OS計算機 可使惡意檔案繞過檢查APPMac計算機
- 透過nginx配置檔案抵禦攻擊Nginx
- 通過Nginx配置檔案抵禦攻擊Nginx
- 隱藏在xml檔案中的惡意軟體XML
- PDF to Word Document Converter Mac(PDF轉Word檔案轉換器)Mac
- 如何在 Mac 上使用預覽將 .pdf 檔案更改為 .jpg 檔案Mac
- WAV音訊檔案中隱藏惡意軟體音訊
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- 惡意軟體PE檔案重建指南
- 將PDF檔案Open In MyAppAPP
- 如何將html程式碼儲存為Pdf檔案HTML
- 檔案包含漏洞(繞過姿勢)
- Java 在Word中嵌入多媒體(視訊、音訊)檔案Java音訊
- 安卓手機怎樣將PDF檔案轉為HTML安卓HTML
- 如何將 PowerPoint 簡報轉換為 PDF 檔案?
- DVWA檔案包含全等級繞過方法
- 檔案上傳漏洞(繞過姿勢)
- 將Schema檔案轉換為Java檔案Java
- 手機上的Word檔案怎麼轉為PDF格式文件
- 手機PDF檔案怎麼轉成word文件
- 通過反射將物件轉化為檔案,同時反向將檔案還原為物件(適用配置檔案讀寫)反射物件
- SQL隱碼攻擊讀寫檔案SQL
- 隱秘的攻擊形式:無檔案攻擊型別分析型別
- hadoop 將檔案上傳到指定的datanode 檢視檔案所在的塊Hadoop
- 如何將.ipynb檔案轉換為.py檔案
- 將ASM裡面的檔案copy到檔案系統ASM
- 忽略檢測png檔案