据BleepingComputer新闻，，，，，，，日本盘算机紧迫响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的使用PDF文档的新型攻击——PDF MalDoc攻击，，，，，，，能将恶意 Word 文件嵌入 PDF 来绕过清静检测。。。。。

JPCERT采样了一种多名堂文件，，，，，，，能被大大都扫描引擎和工具识别为 PDF，，，，，，，但办公应用程序可以将其作为通例 Word 文档 (.doc) 翻开。。。。。多名堂文件是包括两种差别名堂的文件，，，，，，，这些文件名堂可凭证翻开它们的应用程序天生多种文件类型并执行。。。。。

通常，，，，，，，攻击者使用多名堂来逃避检测或疑惑剖析工具，，，，，，，由于这些文件在一种名堂中可能看起来清静，，，，，，，而在另一种名堂中隐藏恶意代码。。。。。

在JPCERT的剖析效果中，，，，，，，PDF 文档包括一个带有 VBS 宏的 Word 文档，，，，，，，若是在 Microsoft Office 中以 .doc 文件形式翻开，，，，，，，则可以下载并装置 MSI 恶意软件文件，，，，，，，但JPCERT并未透露有关装置的恶意软件类型的任何详细信息。。。。。

需要注重，，，，，，，PDF 中的 MalDoc 无法绕过 Microsoft Office 上榨取自动执行宏的清静设置，，，，，，，用户需要通过点击响应设置或解锁文件来手动禁用。。。。。

JPCERT 体现，，，，，，，虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事，，，，，，，但攻击者安排多名堂文件来逃避检测的情形已时有爆发。。。。。

关于攻击者来说，，，，，，，PDF 中MalDoc 的主要优势在于能够逃避古板 PDF 剖析工具（如 "pdfid"）或其他自动剖析工具的检测，，，，，，，这些工具只会检查文件外层看似正常的结构。。。。。

JPCERT给出的解决步伐是接纳多层防御和富厚的检测集，，，，，，，“OLEVBA”等其他剖析工具仍然可以检测隐藏在多语言中的恶意内容。。。。。别的，，，，，，，他们还分享了一条 Yara 规则，，，，，，，即检查文件是否以 PDF 署名开头，，，，，，，并包括指示 Word 文档、Excel 事情簿或 MHT 文件的模式，，，，，，，这与 JPCERT 在野外发明的规避手艺一致。。。。。

网络威胁无处不在，，，，，，，做好提防至关主要，，，，，，，当下时势清静人才欠缺，，，，，，，高薪行业欢迎您的加入，，，，，，，CCRC-ISTE物联网清静手艺工程师（开课时间：9月18日-9月22日）9月开课妄想已出，，，，，，，详情请咨询~

参考链接：https://www.freebuf.com/news/376435.html