HackerNews 编译,转载请注明出处:
攻击者将恶意Word文件嵌入PDF文件中,以规避传统安全扫描。这种被称为“PDF中的MalDoc”的攻击方式,最早可追溯至2023年7月,它使受害者在打开看似普通的文档时触发宏,可能导致系统被攻陷,同时避开常见安全工具的检测。
据JPCERT/CC称,该攻击利用了技术漏洞,使文件在保持PDF签名的同时仍能作为Word文档运行。尽管这些混合文件具有PDF的魔数和文件结构,但它们可以直接在Microsoft Word中打开,触发嵌入的宏并执行恶意代码。在已记录的攻击中,文件通常使用.doc扩展名,确保根据Windows默认文件关联自动路由到Word。
这种技术之所以危险,是因为其双重性质的构成。这些文件在用标准PDF安全工具分析时看似无害,因为恶意内容存储在PDF对象结构之外但同一文件容器内。攻击基础设施涉及在合法的PDF文件对象后附加一个包含嵌入宏的mht文件。安全研究人员在检查文件的十六进制转储时确认,这种结构保持了PDF的头部信息,同时包含了Word文档的组成部分。
这意味着文件可以在不同的应用程序环境中运行,但结果却截然不同。当在标准的PDF查看器中打开时,文件会显示正常内容而不执行恶意行为。然而,当相同的文件被Microsoft Word处理时,它会激活嵌入的宏,建立命令和控制连接。传统的安全工具在面对这种技术时显示出显著的局限性。常见的PDF分析工具如pdfid无法识别恶意组件,因为它们仅专注于评估PDF的结构元素。同样,沙箱和防病毒解决方案可能会根据文件的初始PDF签名错误分类这些文件。
尽管存在这些规避能力,但安全团队可以实施有效的对策。OLEVBA,一个用于检测恶意Office宏的分析工具,对PDF中的MalDoc文件仍然有效。在处理这些混合文档时,OLEVBA能够成功识别并提取嵌入的宏代码,使安全人员能够识别恶意内容。
安全专业人员可以部署自定义的Yara规则来检测这些混合威胁。以下检测规则通过查找PDF签名和嵌入的Office文档结构来识别潜在的PDF中的MalDoc文件。
这种技术不会绕过Word的宏安全设置,如果禁用了自动宏执行,用户仍会收到安全提示。然而,这种方法在自动分析工作流中造成了显著的盲点,可能允许恶意软件穿透防御层。组织应更新其安全协议,以特别测试这些混合文件格式,特别是在经常处理来自外部来源的文档附件的环境中。建议实施技术和用户意识培训,以最小化风险暴露。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
