Skip to main content

MalDoc en PDF: omisión de detección al incrustar un archivo de Word malicioso en un archivo PDF – – JPCERT/CC Eyes

mayo 24, 2024


JPCERT/CC ha confirmado que se utilizó una nueva técnica en un ataque ocurrido en julio, que evita la detección al incrustar un archivo Word malicioso en un archivo PDF. Este artículo de blog denomina a la técnica “MalDoc en PDF” de ahora en adelante y explica los detalles y las contramedidas contra ella.

Descripción general de MalDoc en PDF

Un archivo creado con MalDoc en PDF se puede abrir en Word aunque tenga números mágicos y una estructura de archivo PDF. Si el archivo tiene una macro configurada, al abrirlo en Word, VBS se ejecuta y realiza comportamientos maliciosos. En el ataque confirmado por JPCERT/CC, la extensión del archivo era .doc. Por lo tanto, si un archivo .doc está configurado para abrirse en Word en la configuración de Windows, el archivo creado por MalDoc en PDF se abre como un archivo de Word.

Mire el siguiente vídeo de esta técnica, desde que se abre el archivo creado en Word hasta que se produce la comunicación.

Detalles de MalDoc en PDF

La Figura 1 muestra la vista de volcado del archivo creado por esta técnica. El atacante agrega un archivo mht creado en Word y con una macro adjunta después del objeto del archivo PDF y lo guarda. El archivo creado se reconoce como un archivo PDF en la firma del archivo, pero también se puede abrir en Word.

Figura 1: Vista de volcado de MalDoc en PDF

Al analizar un archivo creado con MalDoc en PDF, existe una alta posibilidad de que herramientas de análisis de PDF como pdfid[1] no puede detectar sus partes maliciosas, como se muestra en la Figura 2. Además, cabe señalar que este archivo realiza comportamientos no intencionales cuando se abre en Word, mientras que los comportamientos maliciosos no se pueden confirmar cuando se abre en visores de PDF, etc. Además, dado que el El archivo se reconoce como un archivo PDF, es posible que el software antivirus o sandbox existente no lo detecte.

Figura 2: resultados del análisis de pdfid

Contramedidas contra MalDoc en PDF

ACEITUNA [2], una herramienta de análisis de archivos de Word maliciosos, sigue siendo una contramedida eficaz contra esta técnica. Como se muestra en la Figura 3, OLEVBA genera las macros incrustadas y, por lo tanto, las partes maliciosas del archivo se pueden verificar con los resultados del análisis de la herramienta.

Figura 3: Resultados del análisis de OLEVBA

El siguiente es un ejemplo de una regla de detección creada utilizando la regla Yara. En este método, si un archivo de Excel se almacena en un archivo PDF, se muestra una pantalla de advertencia cuando se inicia Excel, indicando que la extensión del archivo es diferente y que el archivo no se abrirá en Excel a menos que se acepte la advertencia. Por lo tanto, en el momento de la publicación de este artículo, es poco probable que se utilicen archivos de Excel para esta técnica.

rule malware_MaldocinPDF {

    strings:
        $docfile2 = "" ascii nocase
        $xlsfile2 = "" ascii nocase
        $mhtfile0 = "mime" ascii nocase
        $mhtfile1 = "content-location:" ascii nocase
        $mhtfile2 = "content-type:" ascii nocase

     condition:
        (uint32(0) == 0x46445025) and
        (1 of ($mhtfile*)) and
        ( (1 of ($docfile*)) or 
          (1 of ($xlsfile*)) )
}

Para concluir

La técnica descrita en este artículo no omite la configuración que deshabilita la ejecución automática en la macro de Word. Sin embargo, dado que los archivos se reconocen como PDF, debe tener cuidado con los resultados de la detección si realiza un análisis de malware automatizado utilizando algunas herramientas, zona de pruebas, etc. Consulte el Apéndice para obtener información C2 y valores hash del malware confirmado.

Yuma Masubuchi y Kota Kino

(Traducido por Takumi Nakano)

Referencias

[1] pdfid.py
https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py

[2] ACEITUNA
https://github.com/decalage2/oletools/wiki/olevba

Apéndice A: información C2

  • https://cloudmetricsapp.com
  • https://web365metrics.com

Apéndice B: Valor hash de malware

  • ef59d7038cfd565fd65bae12588810d5361df938244ebad33b71882dcf683058
  • 098796e1b82c199ad226bff056b6310262b132f6d06930d3c254c57bdf548187
  • 5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d



Source link

Translate »