MalDoc v PDF – obcházení detekce vložením škodlivého souboru Word do souboru PDF

Zkuste podčlánkovou inzerciZkuste podčlánkovou inzerci

JPCERT/CC potvrdil, že při červencovém útoku byla použita nová technika, která obchází detekci vložením škodlivého souboru Word do souboru PDF. V tomto článku je tato technika dále nazývána “MalDoc v PDF” a jsou v něm vysvětleny podrobnosti a protiopatření proti ní.

Přehled MalDoc ve formátu PDF

Soubor vytvořený pomocí MalDoc v PDF lze otevřít v aplikaci Word, přestože má strukturu souboru PDF. Pokud má soubor nakonfigurované makro, jeho otevřením ve Wordu se spustí VBS a provede škodlivé chování. V útoku potvrzeném organizací JPCERT/CC byla přípona souboru .doc. Pokud je tedy v nastavení systému Windows nakonfigurováno otevírání souboru .doc v aplikaci Word, soubor vytvořený nástrojem MalDoc v PDF se otevře jako soubor aplikace Word.

Podrobnosti o MalDoc ve formátu PDF

Obrázek 1 ukazuje výpis souboru vytvořeného touto technikou. Útočník za objekt souboru PDF přidá soubor mht vytvořený v aplikaci Word s připojeným makrem a uloží jej. Vytvořený soubor je v signatuře souboru rozpoznán jako soubor PDF, ale lze jej otevřít i v aplikaci Word.

Obrázek 1: Zobrazení výpisu MalDoc ve formátu PDF
Obrázek 1: Zobrazení výpisu MalDoc ve formátu PDF

Při analýze souboru vytvořeného pomocí MalDoc v PDF existuje vysoká pravděpodobnost, že nástroje pro analýzu PDF, jako je pdfid[1], nedokážou odhalit jeho škodlivé části, jak ukazuje obrázek 2. Kromě toho je třeba poznamenat, že tento soubor provádí neúmyslné chování při otevření v aplikaci Word, zatímco škodlivé chování nelze potvrdit při otevření v prohlížečích PDF atd. Navíc vzhledem k tomu, že je soubor rozpoznán jako soubor PDF, nemusí jej stávající sandbox nebo antivirový software odhalit.

Obrázek 2: Výsledky analýzy pdfid
Obrázek 2: Výsledky analýzy pdfid

Protiopatření proti MalDoc v PDF

OLEVBA [2], nástroj pro analýzu škodlivých souborů aplikace Word, je stále účinným protiopatřením proti této technice. Jak ukazuje obrázek 3, OLEVBA vypisuje vložená makra, a tak lze škodlivé části souboru zkontrolovat pomocí výsledků analýzy nástroje.

Obrázek 3: Výsledky analýzy OLEVBA
Obrázek 3: Výsledky analýzy OLEVBA

Další možností je využití pravidla Yara. Při této metodě se v případě, že je soubor aplikace Excel uložen v souboru PDF, zobrazí při spuštění aplikace Excel obrazovka s varováním, že přípona souboru je jiná, a soubor nebude v aplikaci Excel otevřen, pokud nebude varování akceptováno. V době vydání tohoto článku je proto nepravděpodobné, že by se soubory aplikace Excel používaly pro tuto techniku.

Na závěr

Technika popsaná v tomto článku neobchází nastavení, které zakazuje automatické spouštění makeru ve Wordu. Protože jsou však soubory rozpoznány jako PDF, měli byste si dát pozor na výsledky detekce, pokud provádíte automatickou analýzu malwaru pomocí některých nástrojů, sandboxu apod.

 

Zdroj https://www.bleepingcomputer.com/news/security/maldoc-in-pdfs-hiding-malicious-word-docs-in-pdf-files/


Jak bude reklama vypadat?
-
Kup si reklamu pod tímto článkem jen za 160 Kč
Zobrazit formulář pro nákup

Pin It on Pinterest