一种被称为 PDF 中的MalDoc (MalDoc in PDF)”的复杂攻击手段,使威胁行为者能够通过将恶意 Word 文档嵌入 PDF 文件来绕过传统的安全扫描。
早在 7 月的攻击中就已观测到这种技术,当受害者打开看似普通的文档时,其中的宏便能得以执行,这有可能在规避常见安全工具检测的同时入侵系统。
JPCERT/CC表示,该攻击利用了一个技术漏洞,使得文件在保留 PDF 签名的同时仍能作为 Word 文档运行。
尽管这些混合文件具有 PDF 幻数和文件结构,但它们可以在 Microsoft Word 中直接打开,从而触发嵌入的宏来执行恶意代码。
在有记录的攻击中,文件通常使用.doc 扩展名,以确保根据 Windows 默认的文件关联,它们会自动被发送到 Word 程序中打开。
PDF 中的MalDoc
这种技术因其双重性质的构成而极具危险性。当使用标准的 PDF 安全工具对这些文件进行分析时,它们看起来是无害的,因为恶意内容存储在 PDF 对象结构之外,但在同一文件容器内。
攻击架构包括在合法的 PDF 文件对象之后附加一个包含嵌入宏的 mht 文件。
研究文件十六进制转储的安全研究人员已证实,这种结构在保留 PDF 头部的同时融入了 Word 文档组件。
这使得该文件在两种应用环境中都能运行,但结果却截然不同。在标准 PDF 查看器中打开时,文件显示正常内容,不会执行恶意行为。
然而,当同一文件被 Microsoft Word 处理时,它会激活嵌入的宏,建立命令和控制连接。
面对这种技术,传统安全工具存在显著局限性。常见的 PDF 分析工具,如 pdfid,无法识别恶意组件,因为它们只专注于评估 PDF 结构元素。
同样,沙箱和防病毒解决方案可能会根据文件最初的 PDF 签名将其错误分类。尽管这种技术具有逃避检测的能力,但安全团队可以采取有效的应对措施。OLEVBA,一种用于检测恶意 Office 宏的分析工具,对 PDF 中的MalDoc 文件仍然有效。
在处理这些混合文档时,OLEVBA 能够成功识别并提取嵌入的宏代码,使安全人员能够识别恶意内容。
安全措施
安全专业人员可以部署自定义的 Yara 规则来检测这些混合威胁。
以下检测规则通过查找 PDF 签名和嵌入的 Office 文档结构来识别潜在的PDF 中的 MalDoc 文件:
如果禁用了宏的自动执行,这种技术就无法绕过 Word 的宏安全设置,用户仍会收到安全提示。
然而,这种方法在自动化分析工作流程中产生了显著的盲点,有可能让恶意软件逃过防御层。
各机构应更新其安全协议,针对这些混合文件格式进行特定测试,尤其是在经常接收来自外部源文档附件的环境中。
建议同时实施技术应对措施和用户意识培训,以最大程度降低风险。
发表评论
您还未登录,请先登录。
登录