行业新闻与博客

JPCERT/CC 的安全专家发现了一种名为“PDF 中的 MalDoc”的新攻击技术，该技术可以通过在看似无害的 PDF 文档中嵌入恶意 Word 文件来逃避检测。 

这项在 7 月份的网络攻击中使用的技术由于能够绕过传统的安全措施而引起了网络安全界的警惕。

从技术角度来看，尽管保留了 PDF 文件的常见属性，但恶意 Word 文件可以使用 Microsoft Word 打开。这会触发 Visual Basic Script (VBS) 宏的执行，从而实现各种恶意活动。

在已确认的网络攻击中，该文件的文件扩展名为 .doc。然而，经过仔细检查，发现攻击者在 PDF 文件对象之后插入了一个在 Word 中创建并包含宏的 MHT 文件。该文件在保留 PDF 签名的同时，在 Microsoft Word 中打开。

在上周发布的一份公告中，JPCERT/CC 警告称，传统的 PDF 分析工具（例如 pdfid）可能难以检测使用 PDF 中的 MalDoc 创建的文件中的恶意组件。 

值得注意的是，只有在 Word 中打开文件时才会触发恶意行为；在标准 PDF 查看器中查看时，它们保持休眠状态。此外，由于该文件显示为 PDF，现有的沙箱环境和防病毒软件可能不会将其标记为威胁。

专家建议使用 OLEVBA（一种恶意 Word 文件分析工具）来对抗这种技术。OLEVBA 可以有效识别嵌入的宏，帮助检测文件中的恶意元素。

另一种策略涉及使用 Yara 规则来检测这种攻击方法。Yara 规则可以识别文件扩展名中的差异，并在 PDF 文档中检测到不兼容的文件类型时提供警告。

JPCERT/CC 在其咨询报告中指出，PDF 技术中 MalDoc 的出现对网络安全提出了重大挑战。 

“本文中描述的技术不会绕过禁用 Word 宏自动执行的设置，”技术文章中写道。

“但是，由于这些文件被识别为 PDF，因此如果您使用某些工具、沙箱等执行自动恶意软件分析，则应该小心检测结果。”