Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • تکنیک جدید MalDoc in PDF برای دور زدن فرآیند تشخیص + فایل نمونه
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
  • تیم آبی

تکنیک جدید MalDoc in PDF برای دور زدن فرآیند تشخیص + فایل نمونه

On شهریور 7, 1402
seyyid
Share
زمان مطالعه: 3 دقیقه

محققای JPCERT یه گزارش به همراه یه هشدار در خصوص تکنیک جدید قرار دادن فایل مخرب WORD داخل فایل PDF برای دور زدن محصولات امنیتی منتشر کردن، که در این پست بررسیش میکنیم.

این تکنیک جدید که بهش MalDoc in PDF میگن از جولای مورد استفاده بازیگران تهدید قرار گرفته.

 

مرور کلی تکنیک :

فایلی که با استفاده از تکنیک MalDoc in PDF ساخته شده از طریق برنامه WORD باز میشه حتی اگه magic number و ساختار فایل PDF رو ، داشته باشه. اگه فایل با ماکرو پیکربندی شده باشه، باز کردن اون در برنامه WORD منجر به اجرای VBS میشه. در حمله ای که محققای JPCERT کشف کردن، پسوند فایل DOC بوده. بنابراین اگه ویندوز جوری تنظیم شده که فایل doc توسط WORD باز بشه، بنابراین فایلهای MalDoc in PDF هم توسط WORD باز و اجرا میشن.

 

 

جزییات تکنیک :

شکل زیر، ساختار دامپ شده از یه فایل MalDoc in PDF هستش. مهاجم یه فایل mht ساخته شده در WORD و دارای ماکرو رو بعد از شی PDF اضافه و ذخیره میکنه. فایل ایجاد شده دارای امضای فایل PDF هستش، اما میشه اونو در WORD هم باز کرد.

 

تکنیک دور زدن MalDoc in PDF

 

موقع آنالیز فایلهای MalDoc in PDF ، به احتمال زیاد ابزارهای آنالیز فایلهای PDF مانند pdfid ، اون قسمت مخرب رو نمیتونن تشخیص بدن. همونطور که در شکل زیر مشاهده میکنید.

 

خروجی pdfid

 

نکته بعدی اینه که این فایلها وقتی در WORD باز میشن، رفتار مخربی دارن و در برنامه های PDF خوان رفتار مخربی از خودشون نشون نمیدن. از طرفی به دلیل اینکه بعنوان فایل PDF شناخته میشه، ممکنه از طریق سندباکس یا آنتی ویروسها هم شناسایی نشن.

 

 

اقدامات امنیتی در برابر MalDoc in PDF :

ابزار OLEVBA ، یکی از ابزارهای آنالیز فایلهای مخرب WORD هستش که اینجا هم جواب میده. شکل زیر خروجی OLEVBA هستش که همونطور که مشاهده میکنید، تونسته قسمت مخرب فایل رو شناسایی کنه.

 

خروجی OLEVBA

 

از طریق رولهای YARA زیر هم میتونید این نوع فایلهای مخرب رو شناسایی کنید.

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
rule malware_MaldocinPDF {
 
    strings:
        $docfile2 = "<w:WordDocument>" ascii nocase
        $xlsfile2 = "<x:ExcelWorkbook>" ascii nocase
        $mhtfile0 = "mime" ascii nocase
        $mhtfile1 = "content-location:" ascii nocase
        $mhtfile2 = "content-type:" ascii nocase
 
     condition:
        (uint32(0) == 0x46445025) and
        (1 of ($mhtfile*)) and
        ( (1 of ($docfile*)) or
          (1 of ($xlsfile*)) )
}

 

اگه یه فایل اکسل داخل یه فایل PDF ذخیره شده باشه، موقع اجرا در اکسل، یه خطایی رو نشون میده که پسوند فایل متفاوت هستش، و تا زمانیکه کاربر اخطار رو قبول نکنه، در اکسل باز نمیشه. بنابراین در زمان نگارش این مقاله، بعیده که مهاجمین از فایلهای اکسل استفاده کنن.

نکته آخر اینکه، این تکنیک تنظیمات اجرای خودکار ماکرو رو دور نمیزنه، فقط چون فایل بعنوان PDF شناخته میشه، امکان تشخیص و شناسایی رو سختتر میکنه.

 

نمونه فایل مخرب رو برای تست و آنالیز بیشتر میتونید از صفحه گیتهاب ما دانلود کنید

 

IoCهای گزارش:

 

زیرساخت C2:

  • https[:]//cloudmetricsapp[.]com
  • https[:]//web365metrics[.]com

 

فایلهای مخرب:

  • ef59d7038cfd565fd65bae12588810d5361df938244ebad33b71882dcf683058
  • 098796e1b82c199ad226bff056b6310262b132f6d06930d3c254c57bdf548187
  • 5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبار بازیگران تهدید تیم آبیIn MalDoc , MalDoc in PDF , mht , OLEVBA , pdfid , yara , آنالیز بدافزار , ماکرو

راهبری نوشته

ابزارهایی برای محافظت از تهدیدات فیزیکی
سیستم های کنترل صنعتی هدف گروه هکری GhostSec

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On بهمن 2, 1401فروردین 28, 1402

دو آسیب پذیری در Galaxy App Store

  • آسیب پذیری امنیتی
  • اخبار
  • توسعه اکسپلویت
  • مقالات
seyyid
On بهمن 28, 1402

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (از 21 تا 27 بهمن)

  • آسیب پذیری امنیتی
  • اخبار
  • بازیگران تهدید
  • باگ بانتی
  • توسعه اکسپلویت
  • مقالات
seyyid
On اردیبهشت 21, 1402اردیبهشت 21, 1402

بررسی Patch Tuesday مایکروسافت برای مه 2023 (اردیبهشت 1402)

  • اخبار
  • بازیگران تهدید
seyyid
On بهمن 29, 1401فروردین 28, 1402

کلاهبرداری 30 میلیون یورویی با حملات BEC

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404