攻撃手法「MalDoc in PDF」
GinSanaさん
★SC ブロンズマイスター
(No.1)
※このスレッドは直接試験に関係はありません
来年辺りの試験の題材になってもおかしくないやり口ですね。さすがに今年は間に合わないだろうけども
pdfっていうとだいたい拡張子偽装のイメージが強いですが、こういうのがあると結構認識が変わるんじゃないですかね。
多くのセキュリティツールをすり抜ける新攻撃手法「MalDoc in PDF」 ~JPCERT/CCが警告
7月に発生したセキュリティ攻撃で実際に用いられる
樽井 秀人2023年8月23日 12:29
来年辺りの試験の題材になってもおかしくないやり口ですね。さすがに今年は間に合わないだろうけども
pdfっていうとだいたい拡張子偽装のイメージが強いですが、こういうのがあると結構認識が変わるんじゃないですかね。
多くのセキュリティツールをすり抜ける新攻撃手法「MalDoc in PDF」 ~JPCERT/CCが警告
7月に発生したセキュリティ攻撃で実際に用いられる
樽井 秀人2023年8月23日 12:29
「MalDoc in PDF」は、「Microsoft Word」で作成されたマクロ付きのMHTMLデータをPDFファイルへ埋め込む点が特徴。作成されたファイルはシステムから見るとPDFファイルだが、「Word」で開くこともできる。その場合、ファイルに埋め込まれた悪意あるVBSマクロが実行されてしまう可能性がある。
この攻撃で懸念されるのは、攻撃コードの部分が「Word」データとなっているため、「Pdfid」などのPDF分析ツールでは検出されないかもしれない(・・・)
実際、PDFビューワーで開いた場合には何も起こらないため、まったくの無害だ。しかし、JPCERT/CCが確認した攻撃ではファイル拡張子が「.doc」となっていたとのことで、ユーザーがそのままファイルをダブルクリックして「Word」で開いてしまうと攻撃が成立しうる。
この攻撃で懸念されるのは、攻撃コードの部分が「Word」データとなっているため、「Pdfid」などのPDF分析ツールでは検出されないかもしれない(・・・)
実際、PDFビューワーで開いた場合には何も起こらないため、まったくの無害だ。しかし、JPCERT/CCが確認した攻撃ではファイル拡張子が「.doc」となっていたとのことで、ユーザーがそのままファイルをダブルクリックして「Word」で開いてしまうと攻撃が成立しうる。
2023.08.23 17:31
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。