Attackers Hide Malicious Word Files Inside PDFs to Evade Detection
Attackers Hide Malicious Word Files Inside PDFs to Evade Detection
A newly identified cybersecurity threat involves attackers embedding malicious Word files within PDFs to deceive detection systems.
gbhackers.com
- 공격 기법 개요
- 공격자는 PDF 구조 내부에 Word 매크로 문서를 은닉해 탐지를 회피하는 'MalDoc in PDF' 기법을 사용
- PDF 파일처럼 보이지만, 특정 조건에서 Microsoft Word에서 열리며, 악성 매크로(VBS 등)가 실행됨
- 파일은 PDF 시그니처와 구조를 갖추고 있으나, 내부에 MHT 형식으로 작성된 Word 문서 포함
- 공격 기법 상세 구조
- PDF 파일의 객체 뒤에 MHT 파일을 추가로 삽입해 하이브리드 구조 생성
- .doc 확장자를 가진 해당 파일은 Windows 파일 연결 설정에 따라 Word로 열림
- Word에서 매크로 실행이 활성화된 경우 악성 스크립트가 실행됨
- 탐지 우회 전략
- pdfid 등의 PDF 분석 도구는 파일 시그니처에 기반해 정상 PDF로 판단
- 샌드박스 및 AV 솔루션도 Word 기반 매크로 탐지 기법이 동작하지 않아 탐지 실패 가능성 높음
- OLEVBA 등 Word 문서 분석 도구로는 매크로 포함 여부 확인 가능
- 보안 권고
- Yara 룰을 통해 PDF 내부에 Word 또는 Excel XML 요소가 존재하는지 확인 가능
- 예시 Yara 룰은 mime 타입 및 Word/Excel 태그(<w:WordDocument>, <x:ExcelWorkbook>) 존재 여부를 조건으로 설정
- Word의 매크로 자동 실행 제한 기능은 이 공격을 완전히 차단하지는 못하지만 일부 보호 가능
- 결론
- MalDoc in PDF 기법은 멀티 포맷을 악용해 기존 보안 솔루션을 우회하는 진화된 수법
- 보안 분석가는 단순 파일 시그니처가 아닌 다층적 구조 기반 탐지 전략이 필요
- 기업과 기관은 Yara 기반 정적 탐지 룰과 매크로 실행 제어 정책을 결합한 다단계 보안 모델을 도입해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Black Basta 내부 채팅 유출, 러시아 당국 개입 및 BRUTED 기반 대규모 공격 정황 (0) | 2025.05.02 |
|---|---|
| 레거시 드라이버를 활용한 TLS 인증서 유효성 검사 우회 (0) | 2025.05.02 |
| SaaS 보안을 위한 ID 기반 위협 탐지 및 대응(ITDR) 필수 요소 5가지 (0) | 2025.05.02 |
| AI 코드 어시스턴트를 악용한 Rules File Backdoor 공급망 공격 분석 (1) | 2025.05.02 |
| 웹 애플리케이션 대상 공격에 사용된 Cobalt Strike 및 자동화 도구 분석 (0) | 2025.05.02 |