為繞過檢測,攻擊者將惡意Word檔案嵌入到PDF檔案中

Editor發表於2023-08-29

上週,日本的計算機應急響應團隊JPCERT分享了其檢測到的一種新的攻擊技術。2023年7月,JPCERT觀察到該攻擊技術並將之命名為“MalDoc in PDF”,該技術透過將惡意Word檔案嵌入到PDF檔案中來繞過檢測。


為繞過檢測,攻擊者將惡意Word檔案嵌入到PDF檔案中


JPCERT取樣的惡意檔案是一個多語言檔案,多語言檔案指包含多種不同檔案格式的檔案,可以根據開啟它們的應用程式解釋和執行多種檔案型別。在本例中,大多數掃描引擎和工具會將其識別為PDF,但辦公應用程式可以將其作為常規的Word文件(.doc)開啟。


多語言檔案在一種格式中可能看似無害,而在另一種格式中則可能隱藏了惡意程式碼,因此駭客通常使用這類檔案來逃避檢測或混淆分析工具。在這種情況下,該PDF文件包含一個帶有VBS宏的Word文件,如果在Microsoft Office中將之作為.doc檔案開啟,則會下載並安裝一個MSI惡意軟體檔案。


為繞過檢測,攻擊者將惡意Word檔案嵌入到PDF檔案中


“MalDoc in PDF”作為攻擊手段的主要優勢是能夠逃避傳統PDF分析工具(如“pdfid”)或其他只檢查檔案外層(即合法的PDF結構)的自動化分析工具的檢測。但另外一些分析工具(如“OLEVBA”)仍然可以檢測到多語言檔案中隱藏的惡意內容。JPCERT指出,多層次的防禦和豐富的檢測集能夠有效對抗這種威脅。


JPCERT提醒道,雖說本文描述的技術無法繞過禁用Word宏自動執行的設定,但由於這些檔案被識別為PDF檔案,現有的沙箱或防毒軟體可能無法檢測到它。所以假如正在使用一些沙箱、工具等進行自動化惡意軟體分析,需要特別注意這一點。



編輯:左右裡

資訊來源:JPCERT

轉載請註明出處和本文連結

相關文章