據(jù)BleepingComputer消息，日本計算機緊急響應(yīng)小組 (JPCERT) 日前分享了在2023 年 7 月檢測到的利用PDF文檔的新型攻擊——PDF MalDoc攻擊，能將惡意 Word 文件嵌入 PDF 來繞過安全檢測。

JPCERT采樣了一種多格式文件，能被大多數(shù)掃描引擎和工具識別為 PDF，但辦公應(yīng)用程序可以將其作為常規(guī) Word 文檔 (.doc) 打開。多格式文件是包含兩種不同格式的文件，這些文件格式可根據(jù)打開它們的應(yīng)用程序生成多種文件類型并執(zhí)行。

通常，攻擊者使用多格式來逃避檢測或迷惑分析工具，因為這些文件在一種格式中可能看起來安全，而在另一種格式中隱藏惡意代碼。

在JPCERT的分析結(jié)果中，PDF 文檔包含一個帶有 VBS 宏的 Word 文檔，如果在 Microsoft Office 中以 .doc 文件形式打開，則可以下載并安裝 MSI 惡意軟件文件，但JPCERT并未透露有關(guān)安裝的惡意軟件類型的任何詳細信息。

需要注意，PDF 中的 MalDoc 無法繞過 Microsoft Office 上禁止自動執(zhí)行宏的安全設(shè)置，用戶需要通過點擊相應(yīng)設(shè)置或解鎖文件來手動禁用。

JPCERT 表示，雖然將一種文件類型嵌入另一種文件類型并不是什么新鮮事，但攻擊者部署多格式文件來逃避檢測的情況已時有發(fā)生。

對于攻擊者來說，PDF 中MalDoc 的主要優(yōu)勢在于能夠躲避傳統(tǒng) PDF 分析工具（如 "pdfid"）或其他自動分析工具的檢測，這些工具只會檢查文件外層看似正常的結(jié)構(gòu)。

JPCERT給出的解決辦法是采用多層防御和豐富的檢測集，“OLEVBA”等其他分析工具仍然可以檢測隱藏在多語言中的惡意內(nèi)容。此外，他們還分享了一條 Yara 規(guī)則，即檢查文件是否以 PDF 簽名開頭，并包含指示 Word 文檔、Excel 工作簿或 MHT 文件的模式，這與 JPCERT 在野外發(fā)現(xiàn)的規(guī)避技術(shù)一致。

網(wǎng)絡(luò)威脅無處不在，做好防范至關(guān)重要，當下局勢安全人才短缺，高薪行業(yè)歡迎您的加入，CCRC-ISTE物聯(lián)網(wǎng)安全技術(shù)工程師（開課時間：9月18日-9月22日）9月開課計劃已出，詳情請咨詢~

參考鏈接：https://www.freebuf.com/news/376435.html