日本電腦網路危機處理暨協調中心 (JPCERT/CC) 日前發布資安警訊,指出一種全新駭侵攻擊方式;駭侵者利用嵌入在 PDF 檔中的惡意 Word 檔案來逃避防毒防駭軟體的偵測,成功發動攻擊。
JPCERT/CC 是在 2023 年 7 月開始觀察到利用這種技術發動的資安攻擊案例。該單位分享了一個樣本檔案,是一種集多種檔案格式於一身的特殊檔案,可以同時使用不同的軟體來開啟;多數的防毒防駭軟體,在對該樣本檔案進行掃瞄偵測時,會把該檔案當做是 PDF 檔,但該樣本檔同時也可以由 Microsoft Word 來開啟。
JPCERT/CC 指出,該樣本檔一旦由受害者以 Microsoft Word 開啟,即會執行其內含的 VBS 巨集,並且下載一個含有惡意軟體的 MSI 檔案,安裝在受害者的 Windows 系統中。
資安專家指出,駭侵者經常利用這種多合一格式檔案來放置內含 VBS 惡意巨集程式碼的 Word 檔案,由於掃毒軟體會把這種檔案當成相對無害的 PDF 檔,因此往往能成功避開系統上安裝的資安防護機制。
資安專家分析指出,雖然 JPCERT/CC 沒有進一步公開樣本檔內含的惡意軟體攻擊行為與方式,但一般來說,用戶可以在 Microsoft Office 相關設定中,停用巨集的自動執行功能,這樣就能夠阻止這類多合一格式惡意檔案的執行。
此外,還是有一些如 OLEVBA 之類的資安防護軟體,可以偵測到這類多合一格式的惡意檔案內含的惡意程式碼。
建議使用者避免開啟來路不明的任何檔案,系統管理者也應提防這類攻擊,在布署軟體時強制關閉 Office 巨集的自動執行。
- 參考連結
MalDoc in PDF - Detection bypass by embedding a malicious Word file into a PDF file –
https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html
MalDoc in PDFs: Hiding malicious Word docs in PDF files
留言列表