• 02/09/2023
  •  https://dg.samrl.org/l?a4948 
    MalDoc in PDF: هجوم جديد عن طريق إخفاء ملفات وورد الضارة في ملفات بي دي إف
    الحقوق الرقمية |

    شارك فريق الاستجابة لطوارئ الكمبيوتر الياباني (JPCERT) تحليلًا عن هجوم جديد "MalDoc in PDF" تم اكتشافه في يوليو 2023 والذي يتجاوز الكشف، عن طريق تضمين ملفات وورد Word الضارة في ملفات بي دي إف PDF.

    الملف الذي تم أخذ عينة منه بواسطة JPCERT هو ملف متعدد الصيغ (بوليغلوت Polyglots) تتعرف عليه معظم محركات وأدوات المسح الضوئي كملف PDF، ومع ذلك يمكن لتطبيقات الأوفيس فتحه كمستند Word عادي (.doc).

    على سبيل المثال، المستندات الضارة في هذه الحملة عبارة عن مجموعة من مستندات PDF وWord، والتي يمكن فتحها بأي تنسيق ملف (ملفات بوليغلوت Polyglots تحتوي على تنسيقين مختلفين للملفات والتي يمكن تفسيرها وتنفيذها على أنها أكثر من نوع ملف واحد، اعتمادًا على التطبيق الذي يقرأها/ يفتحها).

    عادة ما يستخدم ممثلو التهديد ملفات بوليغلوت Polygots لتجنب الكشف أو إرباك أدوات التحليل، حيث قد تبدو هذه الملفات غير ضارة في أحد التنسيقات بينما تخفي تعليمات برمجية ضارة في التنسيق الآخر .

    في هذه الحالة، يحتوي مستند PDF على مستند Word مع ماكرو VBS لتنزيل وتثبيت ملف برنامج MSI الضار إذا تم فتحه كملف .doc في Microsoft Office. ومع ذلك، لم يشارك فريق الاستجابة للطوارئ CERT الياباني أي تفاصيل حول نوع البرامج الضارة المثبتة.

    ومع ذلك، تجدر الإشارة إلى أن MalDoc في PDF لا يتجاوز إعدادات الأمان التي تعطل التنفيذ التلقائي لوحدات الماكرو على Microsoft Office، لذلك لا تزال هذه وسائل حماية كافية يحتاج المستخدمون إلى تعطيلها يدويًا إما عن طريق النقر فوق الزر المقابل أو إلغاء حظر الملف.

    على الرغم من أن تضمين نوع ملف واحد داخل نوع آخر ليس بالأمر الجديد، حيث أن المهاجمين الذين ينشرون ملفات متعددة اللغات لتجنب اكتشافهم قد تم توثيقهم جيدًا، إلا أن التقنية المحددة تعتبر جديدة، كما يقول JPCERT.

    تتمثل الميزة الرئيسية لـ MalDoc في PDF للمهاجمين في القدرة على تجنب الاكتشاف بواسطة أدوات تحليل PDF التقليدية مثل "pdfid" أو أدوات التحليل الآلية الأخرى التي ستقوم فقط بفحص الطبقة الخارجية من الملف، وهي بنية PDF مشروعة.

    ومع ذلك، يقول JPCERT إن أدوات التحليل الأخرى مثل "OLEVBA" لا يزال بإمكانها اكتشاف المحتوى الضار المختبئ داخل متعدد اللغات، لذا يجب أن تكون الدفاعات متعددة الطبقات ومجموعات الكشف الغنية فعالة ضد هذا التهديد.

    شاركت وكالة الأمن السيبراني أيضًا قاعدة Yara لمساعدة الباحثين والمدافعين على تحديد الملفات باستخدام تقنية "MalDoc in PDF".

    تتحقق القاعدة مما إذا كان الملف يبدأ بتوقيع PDF ويحتوي على أنماط تشير إلى مستند Word أو مصنف Excel أو ملف MHT، والذي يتماشى مع تقنية التهرب التي تم رصدها JPCERT في بيئة الإنترنت.


    المصدر: Bleeping Computer


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير