通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

危险的套娃:攻击者在 PDF 文件中隐藏恶意Word 文档

据BleepingComputer消息,日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击,能将恶意 Word 文件嵌入 PDF 来绕过安全检测。

JPCERT采样了一种多格式文件,能被大多数扫描引擎和工具识别为 PDF,但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。多格式文件是包含两种不同文件格式的文件,这些文件格式可根据打开它们的应用程序解释为多种文件类型并执行。

通常,攻击者使用多格式来逃避检测或迷惑分析工具,因为这些文件在一种格式中可能看起来安全,而在 另一种格式中隐藏恶意代码。

在JPCERT的分析结果中,PDF 文档包含一个带有 VBS 宏的 Word 文档,如果在 Microsoft Office 中以 .doc 文件形式打开,则可以下载并安装 MSI 恶意软件文件,但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。

需要注意,PDF 中的 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置,用户需要通过点击相应设置或解锁文件来手动禁用。

JPCERT 表示,虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事,但攻击者部署多格式文件来逃避检测的情况已时有发生。

对于攻击者来说,PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具(如 “pdfid”)或其他自动分析工具的检测,这些工具只会检查文件外层看似正常的结构。

JPCERT给出的解决办法是采用多层防御和丰富的检测集,“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外,他们还分享了一条 Yara 规则,即检查文件是否以 PDF 签名开头,并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式,这与 JPCERT 在野外发现的规避技术一致。

参考来源:MalDoc in PDFs: Hiding malicious Word docs in PDF files

文章来自:https://www.freebuf.com/

相关文章