危险的套娃:攻击者在 PDF 文件中隐藏恶意Word 文档
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
日本计算机紧急响应小组(JPCERT)在2023年7月发现了一种新型攻击,即利用PDF文档进行的PDF MalDoc攻击。攻击者将恶意Word文件嵌入PDF以绕过安全检测。JPCERT建议采用多层防御和丰富的检测集来解决这个问题。
🎯
关键要点
- 日本计算机紧急响应小组(JPCERT)在2023年7月发现了一种新型攻击,称为PDF MalDoc攻击。
- 攻击者通过将恶意Word文件嵌入PDF文档来绕过安全检测。
- 多格式文件可以被识别为PDF,但在办公应用程序中可作为常规Word文档打开。
- 攻击者利用多格式文件逃避检测,可能在一种格式中看似安全,而在另一种格式中隐藏恶意代码。
- JPCERT分析发现,PDF文档中包含带有VBS宏的Word文档,能够下载并安装MSI恶意软件。
- PDF中的MalDoc无法绕过Microsoft Office的自动执行宏安全设置,用户需手动禁用。
- PDF中MalDoc的主要优势在于能够躲避传统PDF分析工具的检测。
- JPCERT建议采用多层防御和丰富的检测集来应对这种攻击。
- 他们分享了一条Yara规则,用于检查文件是否以PDF签名开头,并包含指示Word文档的模式。
➡️
