MalDoc から PDF: 日本の CERT が PDF に隠された悪意のある文書について警告

Japan CERT は、マルウェアが検出から隠れるために使用される最近発見された詐欺について警告しています。 コンピューター科学者は、悪意のある Word 文書を PDF ファイル内に隠すため、このテクノロジーを「MalDoc in PDF」と呼んでいます。 その結果、多くのウイルス対策ツールやスキャン ツールはそれらを見つけることができません。

広告

ITセキュリティ研究者 JPCERT がブログ投稿に書いています彼らは7月に彼による襲撃を発見したとのこと。 「MalDoc to PDF」は Word で開くことができますが、PDF の形式とファイル構造を示すいわゆるマジック バイトが使用されます。 ファイルにマクロが含まれている場合、悪意のあるアクティビティも含めてマクロが実行されます。 ただし、この攻撃は自動的に設定されるマクロ ロックを回避しません。 観察されたケースのファイル拡張子は .doc でした。 したがって、Windows で Word が .doc ファイルのファイル マネージャーとして設定されている場合、Microsoft Office ソフトウェアは「MalDoc to PDF」ファイルを開きます。

コンピューター研究者によるスクリーンショットでは、ファイルが PDF 構造であることがわかります。 Word では引き続き開くことができます。 さらに、マクロは MHT (MIME Encapsulation of Aggregate HTML Documents) として、つまり HTML ページのアーカイブとしてファイルに添付されます。

コンピュータ セキュリティ研究者は、PDF 分析ツールがファイルの悪意のある部分を認識する可能性は低いとも主張しています。 彼らは、このファイルを Word で開くと望ましくない動作を実行すると付け加えています。 ファイルを PDF ビューアまたは同様のソフトウェアで開いた場合、悪意のあるマクロは実行されません。 Magicbytes のおかげでファイルは PDF として認識されるため、一般的なサンドボックスやウイルス対策ソフトウェアでは認識されない可能性があります。



MalDoc ファイルから Hex ファイルを PDF ファイルに抽出します

MalDoc-to-PDF ファイルは PDF のマジック バイトを悪用し、埋め込まれた MHT ファイルに悪意のある VBS マクロを隠します。

(画像:JPCERT)

対策として、コンピューター研究者らは、たとえばOLEVBAで疑わしい文書を調査することを提案している。 埋め込まれたマクロを排出し、ファイルの悪意のある部分をより詳細に分析できます。 JPCERT は、PDF 内の Excel ファイルに対して警告する YARA ルールのサンプルも紹介しています。 IT 管理者は、これらを独自の追加ルールの開始点として使用できます。 MalDoc-in-PDF ファイルでは、開始プログラムからのマクロ警告も真剣に受け止める必要があることに注意することが重要です。

広告

サイバー犯罪者は、マルウェアを隠し、すべての脆弱なプラットフォームで検出されないよう保護しようとします。 たとえば、悪意のある Android アプリは、使用される暗号化に関する誤ったヘッダー エントリを使用して静的分析を回避しようとします。 幸いなことに、多くの場合、これらの操作されたファイルはまったく実行できません。


(DMK)

ホームページへ

Nishikawa Katashi

「Web オタク。情熱的なトラブルメーカー。オーガナイザー。アマチュア コーヒー マニア。ゾンビ マニア。」

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です