Phát hiện kỹ thuật tấn công thực thi mã độc PDF mới có thể qua mặt các công vụ phân tích PDF
Vn-Z.vn Ngày 31 tháng 08 năm 2023, Nhóm ứng phó khẩn cấp máy tính Nhật Bản JPCERT mới đây đã đưa ra cảnh báo khi họ phát hiện ra phương thức tấn công mới nhúng tài liệu Word độc hại sang định dạng PDF, có thể qua mặt các công cụ phân tích PDF truyền thống như pdfid.
Nhóm chuyên gia đặt tên cho công nghệ này là "MalDoc in PDF". Kẻ tấn công tạo ra một tệp định dạng PDF được chế tạo đặc biệt. Sau khi người dùng mở nó thông qua ứng dụng Microsoft Word, các lệnh macro trong tệp sẽ được kích hoạt và mã độc sẽ được thực thi.
Ảnh jpcert
Trong file mẫu được nhóm nghiên cứu kiểm tra mặc dù tệp độc hại có định dạng PDF nhưng hậu tố thực sự của nó là .doc. Nếu thiết bị người dùng được cấu hình với ứng dụng xử lý file doc mặc định là Word thì khi nhấn đúp vào file PDF hệ thống sẽ tự động gọi Word để mở file này.
Yuma Masubuchi, chuyên gia bảo mật của JPCERT, cho biết những kẻ tấn công sẽ tạo tệp mht trong Word và thêm macro vào file PDF. Phương pháp mới này khiến các công cụ phân tích PDF truyền thống như pdfid rất khó phát hiện các tệp độc hại này.
JPCERT cho biết tệp thử nghiệm chỉ thực hiện các hành vi không cố ý khi được mở trong Word, trong khi các hành vi độc hại không thể xác nhận được khi nó được mở trong các trình xem PDF, v.v. Vì tệp được nhận dạng là một tệp PDF, các phần mềm sandbox hoặc antivirus hiện có sẽ rất khó phát hiện ra nó.
Nhóm nghiên cứu cũng tiến hành thử nghiệm với file Exel , bằng cách sử dụng quy tắc Yara. Họ thử nghiệm nếu một file Excel được lưu trong file PDF, lúc này sẽ xuất hiện màn hình cảnh báo sẽ hiển thị khi Excel khởi động, cho biết phần mở rộng tệp khác nhau và tệp sẽ không được mở trong Excel trừ khi cảnh báo được chấp nhận. Vào thời điểm JPCERT xuất bản bài thông báo, khả năng sử dụng các tệp Excel cho phương pháp này là không thường xuyên.
Nhóm JPCERT đưa ra kết luận rằng Kỹ thuật được họ thử nghiệm không vượt qua thiết lập vô hiệu hóa tự động thực thi trong macro Word. Tuy nhiên, vì các tệp được nhận dạng là PDF, người dùng cần phải cẩn trọng , nếu hacker sử dụng kỹ thuật tấn công mới qua file PDF này có thể nhiều AV, hoặc các công cụ nhận diện PDF sẽ không phát hiện được các mã độc được nhúng.
Người dùng nên thận trọng trong quá trình tải, sử dụng các tài liệu dạng PDF. Không tải sử dụng các tài liệu từ nguồn không rõ ràng.
Nhóm chuyên gia đặt tên cho công nghệ này là "MalDoc in PDF". Kẻ tấn công tạo ra một tệp định dạng PDF được chế tạo đặc biệt. Sau khi người dùng mở nó thông qua ứng dụng Microsoft Word, các lệnh macro trong tệp sẽ được kích hoạt và mã độc sẽ được thực thi.
Ảnh jpcert
Trong file mẫu được nhóm nghiên cứu kiểm tra mặc dù tệp độc hại có định dạng PDF nhưng hậu tố thực sự của nó là .doc. Nếu thiết bị người dùng được cấu hình với ứng dụng xử lý file doc mặc định là Word thì khi nhấn đúp vào file PDF hệ thống sẽ tự động gọi Word để mở file này.
Yuma Masubuchi, chuyên gia bảo mật của JPCERT, cho biết những kẻ tấn công sẽ tạo tệp mht trong Word và thêm macro vào file PDF. Phương pháp mới này khiến các công cụ phân tích PDF truyền thống như pdfid rất khó phát hiện các tệp độc hại này.
JPCERT cho biết tệp thử nghiệm chỉ thực hiện các hành vi không cố ý khi được mở trong Word, trong khi các hành vi độc hại không thể xác nhận được khi nó được mở trong các trình xem PDF, v.v. Vì tệp được nhận dạng là một tệp PDF, các phần mềm sandbox hoặc antivirus hiện có sẽ rất khó phát hiện ra nó.
Nhóm nghiên cứu cũng tiến hành thử nghiệm với file Exel , bằng cách sử dụng quy tắc Yara. Họ thử nghiệm nếu một file Excel được lưu trong file PDF, lúc này sẽ xuất hiện màn hình cảnh báo sẽ hiển thị khi Excel khởi động, cho biết phần mở rộng tệp khác nhau và tệp sẽ không được mở trong Excel trừ khi cảnh báo được chấp nhận. Vào thời điểm JPCERT xuất bản bài thông báo, khả năng sử dụng các tệp Excel cho phương pháp này là không thường xuyên.
Nhóm JPCERT đưa ra kết luận rằng Kỹ thuật được họ thử nghiệm không vượt qua thiết lập vô hiệu hóa tự động thực thi trong macro Word. Tuy nhiên, vì các tệp được nhận dạng là PDF, người dùng cần phải cẩn trọng , nếu hacker sử dụng kỹ thuật tấn công mới qua file PDF này có thể nhiều AV, hoặc các công cụ nhận diện PDF sẽ không phát hiện được các mã độc được nhúng.
Người dùng nên thận trọng trong quá trình tải, sử dụng các tài liệu dạng PDF. Không tải sử dụng các tài liệu từ nguồn không rõ ràng.
[
Vn-Z.vn team tổng hợp tham khảo nguồn JPCERT
Vn-Z.vn team tổng hợp tham khảo nguồn JPCERT
