繞過檢測將惡意Word文件嵌入到PDF文件中

   日本的計算機應急響應團隊JPCERT分享了其檢測到的一種新的攻擊技術。2023年7月，JPCERT觀察到該攻擊技術并將之命名為“MalDoc in PDF”，該技術通過將惡意Word文件嵌入到PDF文件中來繞過檢測。

        JPCERT采樣的惡意文件是一個多語言文件，多語言文件指包含多種不同文件格式的文件，可以根據打開它們的應用程序解釋和執行多種文件類型。在本例中，大多數掃描引擎和工具會將其識別為PDF，但辦公應用程序可以將其作為常規的Word文檔（.doc）打開。

        多語言文件在一種格式中可能看似無害，而在另一種格式中則可能隱藏了惡意代碼，因此黑客通常使用這類文件來逃避檢測或混淆分析工具。在這種情況下，該PDF文檔包含一個帶有VBS宏的Word文檔，如果在Microsoft Office中將之作為.doc文件打開，則會下載并安裝一個MSI惡意軟件文件。

        “MalDoc in PDF”作為攻擊手段的主要優勢是能夠逃避傳統PDF分析工具（如“pdfid”）或其他只檢查文件外層（即合法的PDF結構）的自動化分析工具的檢測。但另外一些分析工具（如“OLEVBA”）仍然可以檢測到多語言文件中隱藏的惡意內容。JPCERT指出，多層次的防御和豐富的檢測集能夠有效對抗這種威脅。

       JPCERT提醒道，雖說本文描述的技術無法繞過禁用Word宏自動執行的設置，但由于這些文件被識別為PDF文件，現有的沙箱或殺毒軟件可能無法檢測到它。所以假如正在使用一些沙箱、工具等進行自動化惡意軟件分析，需要特別注意這一點。