JPCERT/CC 已确认 7 月份发生的一次攻击中使用了一种新技术,通过将恶意 Word 文件嵌入到 PDF 文件中来绕过检测。这篇博客文章以下将该技术称为“PDF 中的 MalDoc”,并解释了该技术的详细信息和对策。
PDF 格式的 MalDoc 概述
使用 MalDoc 在 PDF 中创建的文件可以在 Word 中打开,即使它具有 PDF 的幻数和文件结构。如果该文件配置了宏,在Word中打开该文件,VBS就会运行并执行恶意行为。在JPCERT/CC确认的攻击中,文件扩展名为.doc。因此,如果在 Windows 设置中将 .doc 文件配置为在 Word 中打开,则由 MalDoc 在 PDF 中创建的文件将作为 Word 文件打开。
PDF 格式的 MalDoc 详细信息
图 1 显示了通过此技术创建的文件的转储视图。攻击者在 PDF 文件对象后添加一个在 Word 中创建并附加了宏的 mht 文件并保存。创建的文件在文件签名中被识别为 PDF 文件,但也可以在 Word 中打开。
图 1:PDF 中 MalDoc 的转储视图
在分析 PDF 中使用 MalDoc 创建的文件时,pdfid[1] 等 PDF 分析工具很可能无法检测到其恶意部分,如图 2 所示。此外,应该注意的是,该文件执行了无意的行为在Word中打开时无法确认恶意行为,而在PDF查看器等中打开时无法确认恶意行为。此外,由于该文件被识别为PDF文件,现有的沙箱或防病毒软件可能无法检测到它。
图2:pdfid的分析结果
PDF中的MalDoc对策
OLEVBA,一种恶意Word文件的分析工具,仍然是针对这种技术的有效对策。如图3所示,OLEVBA输出嵌入的宏,因此可以通过该工具的分析结果检查文件的恶意部分。
图3:OLEVBA的分析结果
以下是使用 Yara 规则创建的检测规则的示例。在此方法中,如果 Excel 文件存储在 PDF 文件中,则 Excel 启动时会显示警告屏幕,指出文件扩展名不同,并且除非接受警告,否则不会在 Excel 中打开该文件。因此,在本文发布时,Excel 文件不太可能用于此技术。
rule malware_MaldocinPDF {
strings:
$docfile2 = "" ascii nocase
$xlsfile2 = "" ascii nocase
$mhtfile0 = "mime" ascii nocase
$mhtfile1 = "content-location:" ascii nocase
$mhtfile2 = "content-type:" ascii nocase
condition:
(uint32(0) == 0x46445025) and
(1 of ($mhtfile*)) and
( (1 of ($docfile*)) or
(1 of ($xlsfile*)) )
}
附录 A:C2 信息
https[:]//cloudmetricsapp[.]com
https[:]//web365metrics[.]com
附录 B:恶意软件哈希值
ef59d7038cfd565fd65bae12588810d5361df938244ebad33b71882dcf683058
098796e1b82c199ad226bff056b6310262b132f6d06930d3c254c57bdf548187
5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d
转载来源:https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html
图片来源网络侵权可联系删除