MalDoc技术:将恶意Word文件嵌入到PDF文件中来绕过安全检测

2023年 9月 21日 88.5k 0

JPCERT/CC 已确认 7 月份发生的一次攻击中使用了一种新技术,通过将恶意 Word 文件嵌入到 PDF 文件中来绕过检测。这篇博客文章以下将该技术称为“PDF 中的 MalDoc”,并解释了该技术的详细信息和对策。

PDF 格式的 MalDoc 概述

使用 MalDoc 在 PDF 中创建的文件可以在 Word 中打开,即使它具有 PDF 的幻数和文件结构。如果该文件配置了宏,在Word中打开该文件,VBS就会运行并执行恶意行为。在JPCERT/CC确认的攻击中,文件扩展名为.doc。因此,如果在 Windows 设置中将 .doc 文件配置为在 Word 中打开,则由 MalDoc 在 PDF 中创建的文件将作为 Word 文件打开。

PDF 格式的 MalDoc 详细信息

图 1 显示了通过此技术创建的文件的转储视图。攻击者在 PDF 文件对象后添加一个在 Word 中创建并附加了宏的 mht 文件并保存。创建的文件在文件签名中被识别为 PDF 文件,但也可以在 Word 中打开。

图 1:PDF 中 MalDoc 的转储视图

在分析 PDF 中使用 MalDoc 创建的文件时,pdfid[1] 等 PDF 分析工具很可能无法检测到其恶意部分,如图 2 所示。此外,应该注意的是,该文件执行了无意的行为在Word中打开时无法确认恶意行为,而在PDF查看器等中打开时无法确认恶意行为。此外,由于该文件被识别为PDF文件,现有的沙箱或防病毒软件可能无法检测到它。

图2:pdfid的分析结果

PDF中的MalDoc对策

OLEVBA,一种恶意Word文件的分析工具,仍然是针对这种技术的有效对策。如图3所示,OLEVBA输出嵌入的宏,因此可以通过该工具的分析结果检查文件的恶意部分。

图3:OLEVBA的分析结果

以下是使用 Yara 规则创建的检测规则的示例。在此方法中,如果 Excel 文件存储在 PDF 文件中,则 Excel 启动时会显示警告屏幕,指出文件扩展名不同,并且除非接受警告,否则不会在 Excel 中打开该文件。因此,在本文发布时,Excel 文件不太可能用于此技术。

rule malware_MaldocinPDF {

    strings:
        $docfile2 = "" ascii nocase
        $xlsfile2 = "" ascii nocase
        $mhtfile0 = "mime" ascii nocase
        $mhtfile1 = "content-location:" ascii nocase
        $mhtfile2 = "content-type:" ascii nocase

     condition:
        (uint32(0) == 0x46445025) and
        (1 of ($mhtfile*)) and
        ( (1 of ($docfile*)) or 
          (1 of ($xlsfile*)) )
}

附录 A:C2 信息

https[:]//cloudmetricsapp[.]com
https[:]//web365metrics[.]com

附录 B:恶意软件哈希值

ef59d7038cfd565fd65bae12588810d5361df938244ebad33b71882dcf683058
098796e1b82c199ad226bff056b6310262b132f6d06930d3c254c57bdf548187
5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d

转载来源:https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论