close

_20_2023.08.29_MalDoc_in_PDF_利用嵌入_PDF_的惡意_Word_檔發動攻擊

日本電腦網路危機處理暨協調中心 (JPCERT/CC) 日前發布資安警訊,指出一種全新駭侵攻擊方式;駭侵者利用嵌入在 PDF 檔中的惡意 Word 檔案來逃避防毒防駭軟體的偵測,成功發動攻擊。

JPCERT/CC 是在 2023 年 7 月開始觀察到利用這種技術發動的資安攻擊案例。該單位分享了一個樣本檔案,是一種集多種檔案格式於一身的特殊檔案,可以同時使用不同的軟體來開啟;多數的防毒防駭軟體,在對該樣本檔案進行掃瞄偵測時,會把該檔案當做是 PDF 檔,但該樣本檔同時也可以由 Microsoft Word 來開啟。

JPCERT/CC 指出,該樣本檔一旦由受害者以 Microsoft Word 開啟,即會執行其內含的 VBS 巨集,並且下載一個含有惡意軟體的 MSI 檔案,安裝在受害者的 Windows 系統中。

資安專家指出,駭侵者經常利用這種多合一格式檔案來放置內含  VBS 惡意巨集程式碼的 Word 檔案,由於掃毒軟體會把這種檔案當成相對無害的 PDF 檔,因此往往能成功避開系統上安裝的資安防護機制。

資安專家分析指出,雖然 JPCERT/CC 沒有進一步公開樣本檔內含的惡意軟體攻擊行為與方式,但一般來說,用戶可以在 Microsoft Office 相關設定中,停用巨集的自動執行功能,這樣就能夠阻止這類多合一格式惡意檔案的執行。

此外,還是有一些如 OLEVBA 之類的資安防護軟體,可以偵測到這類多合一格式的惡意檔案內含的惡意程式碼。

建議使用者避免開啟來路不明的任何檔案,系統管理者也應提防這類攻擊,在布署軟體時強制關閉 Office 巨集的自動執行。

  • 參考連結

MalDoc in PDF - Detection bypass by embedding a malicious Word file into a PDF file –

https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

MalDoc in PDFs: Hiding malicious Word docs in PDF files

https://www.bleepingcomputer.com/news/security/maldoc-in-pdfs-hiding-malicious-word-docs-in-pdf-files/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()