PDF中的恶意文档攻击

关键要点

• 恶意的Word文档被嵌入到PDF文件中以逃避检测。
• JPCERT警告此攻击形式的安全设置问题。
• 建议使用OLEVBA工具和Yara规则作为防御措施。

最近，BleepingComputer报道了一种新的“PDF中的恶意文档”（MalDoc inPDF）攻击，这种攻击通过将恶意的Word文件嵌入PDF，旨在逃避检测。根据日本计算机应急响应小组（JPCERT）的消息，识别出的PDF文件中包含一个VBS宏，该宏可以下载并安装一个MSI恶意软件文件。尽管如此，MalDocin PDF仍然无法绕过Microsoft Office的自动宏执行禁用设置。

“传统的PDF分析工具和其他自动化分析系统无法识别MalDoc in PDF，”JPCERT指出。这一攻击形式显示出多层防御在防止由多种文件组成的威胁时的重要性。

在检测方面，虽然MalDoc inPDF的传统检测方法无效，恶意的多重格式文件（polyglots）却可以通过OLEVBA分析工具得到检测。此外，安全防御者和研究人员也可以利用Yara规则来检查文件是否以PDF签名开头，同时检验是否包含Word文件、MHT文件或Excel文档的指示符。

防范策略

应对新型攻击的方法需要不断更新，因此，对各种攻击形式的警惕和利用有效的防御工具将是至关重要的。