![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
MalDoc in PDF: Ẩn tài liệu Word độc hại trong tập tin PDF
Nhóm phản ứng khẩn cấp máy tính của Nhật Bản (JPCERT) đang chia sẻ về một cuộc tấn công mới mang tên 'MalDoc in PDF' mà họ phát hiện vào tháng 7 năm 2023, cuộc tấn công này đã vượt qua quá trình phát hiện bằng cách nhúng tập tin Word độc hại vào tập tin PDF.
Tập tin mẫu mà JPCERT đã kiểm tra được nhận dạng là một loại polyglot được hầu hết các động cơ quét và các công cụ nhận dạng như PDF, nhưng các ứng dụng văn phòng có thể mở nó như một tài liệu Word thông thường (.doc).
Polyglot là các tập tin chứa hai định dạng tệp khác nhau có thể được giải thích và thực thi như nhiều loại tệp khác nhau, phụ thuộc vào ứng dụng đang đọc/mở chúng.
Ví dụ, tài liệu độc hại trong chiến dịch này là sự kết hợp của tài liệu PDF và Word, có thể mở dưới dạng một trong hai định dạng tệp.
Thường thì các nhóm tấn công sử dụng polyglot để né tránh việc phát hiện hoặc làm lúng túng các công cụ phân tích, vì các tệp này có thể trông vô hại trong một định dạng trong khi ẩn mã độc trong định dạng khác.
Trong trường hợp này, tài liệu PDF chứa một tài liệu Word với một macro VBS để tải xuống và cài đặt một tệp độc hại MSI nếu mở dưới định dạng .doc trong Microsoft Office. Tuy nhiên, JPCERT của Nhật Bản không chia sẻ chi tiết về loại malware được cài đặt.
Tuy nhiên, cần lưu ý rằng MalDoc in PDF không vượt qua các thiết lập bảo mật tắt tự động thực thi các macro trên Microsoft Office, vì vậy người dùng vẫn cần phải tắt chúng thủ công bằng cách nhấp vào nút tương ứng hoặc mở khóa tệp.
JPCERT đã phát hành video sau trên YouTube để trình bày cách tập tin MalDoc in PDF xuất hiện và hoạt động trên hệ điều hành Windows.
Mặc dù việc nhúng một định dạng tệp trong một định dạng khác không mới, vì những kẻ tấn công triển khai các tệp polyglot để tránh phát hiện đã được ghi lại rõ ràng, nhưng phương pháp cụ thể này là mới mẻ, theo JPCERT.
Ưu điểm chính của MalDoc in PDF đối với kẻ tấn công là khả năng né tránh phát hiện bằng các công cụ phân tích PDF truyền thống như 'pdfid' hoặc các công cụ phân tích tự động khác chỉ kiểm tra lớp bên ngoài của tập tin, là cấu trúc PDF hợp lệ.
Tuy nhiên, JPCERT cho biết các công cụ phân tích khác như 'OLEVBA' vẫn có thể phát hiện nội dung độc hại ẩn bên trong polyglot, vì vậy hệ thống phòng thủ đa lớp và bộ công cụ phát hiện phong phú nên hiệu quả đối với mối đe dọa này.
Cơ quan an ninh mạng cũng đã chia sẻ một quy tắc Yara để giúp các nhà nghiên cứu và người bảo vệ xác định các tệp sử dụng kỹ thuật 'MalDoc in PDF'.
Quy tắc này kiểm tra xem tệp có bắt đầu bằng chữ ký PDF và chứa các mẫu biểu thị cho một tài liệu Word, bảng tính Excel hoặc tệp MHT, điều này tương thích với kỹ thuật né tránh mà JPCERT đã phát hiện ra trong môi trường thực tế.
Cảm xúc của bạn?
