JPCERT/CC potvrdil, že při červencovém útoku byla použita nová technika, která obchází detekci vložením škodlivého souboru Word do souboru PDF. V tomto článku je tato technika dále nazývána “MalDoc v PDF” a jsou v něm vysvětleny podrobnosti a protiopatření proti ní.
Přehled MalDoc ve formátu PDF
Soubor vytvořený pomocí MalDoc v PDF lze otevřít v aplikaci Word, přestože má strukturu souboru PDF. Pokud má soubor nakonfigurované makro, jeho otevřením ve Wordu se spustí VBS a provede škodlivé chování. V útoku potvrzeném organizací JPCERT/CC byla přípona souboru .doc. Pokud je tedy v nastavení systému Windows nakonfigurováno otevírání souboru .doc v aplikaci Word, soubor vytvořený nástrojem MalDoc v PDF se otevře jako soubor aplikace Word.
Podrobnosti o MalDoc ve formátu PDF
Obrázek 1 ukazuje výpis souboru vytvořeného touto technikou. Útočník za objekt souboru PDF přidá soubor mht vytvořený v aplikaci Word s připojeným makrem a uloží jej. Vytvořený soubor je v signatuře souboru rozpoznán jako soubor PDF, ale lze jej otevřít i v aplikaci Word.
Při analýze souboru vytvořeného pomocí MalDoc v PDF existuje vysoká pravděpodobnost, že nástroje pro analýzu PDF, jako je pdfid[1], nedokážou odhalit jeho škodlivé části, jak ukazuje obrázek 2. Kromě toho je třeba poznamenat, že tento soubor provádí neúmyslné chování při otevření v aplikaci Word, zatímco škodlivé chování nelze potvrdit při otevření v prohlížečích PDF atd. Navíc vzhledem k tomu, že je soubor rozpoznán jako soubor PDF, nemusí jej stávající sandbox nebo antivirový software odhalit.
Protiopatření proti MalDoc v PDF
OLEVBA [2], nástroj pro analýzu škodlivých souborů aplikace Word, je stále účinným protiopatřením proti této technice. Jak ukazuje obrázek 3, OLEVBA vypisuje vložená makra, a tak lze škodlivé části souboru zkontrolovat pomocí výsledků analýzy nástroje.
Další možností je využití pravidla Yara. Při této metodě se v případě, že je soubor aplikace Excel uložen v souboru PDF, zobrazí při spuštění aplikace Excel obrazovka s varováním, že přípona souboru je jiná, a soubor nebude v aplikaci Excel otevřen, pokud nebude varování akceptováno. V době vydání tohoto článku je proto nepravděpodobné, že by se soubory aplikace Excel používaly pro tuto techniku.
Na závěr
Technika popsaná v tomto článku neobchází nastavení, které zakazuje automatické spouštění makeru ve Wordu. Protože jsou však soubory rozpoznány jako PDF, měli byste si dát pozor na výsledky detekce, pokud provádíte automatickou analýzu malwaru pomocí některých nástrojů, sandboxu apod.
Czech