{"id":285514,"date":"2023-09-02T00:01:00","date_gmt":"2023-09-01T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285514"},"modified":"2023-09-03T08:26:01","modified_gmt":"2023-09-03T06:26:01","slug":"maldoc-schdliche-word-dateien-in-pdf-dokumenten-umgehen-malware-erkennung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/02\/maldoc-schdliche-word-dateien-in-pdf-dokumenten-umgehen-malware-erkennung\/","title":{"rendered":"MalDoc: Schädliche Word-Dateien in PDF-Dokumenten umgehen Malware-Erkennung"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Nachtrag von dieser Woche: Das japanische CERT warnt vor einer neuen Technik von Cyberangreifern, die sch\u00e4dliche Word-Dateien nehmen und in PDF-Dokumente einbetten. Durch dieses \"Verpacken\" soll die Erkennung der sch\u00e4dlichen Office-Dokumente durch Sicherheitssoftware umgangen werden. JPCERT\/CC hat erstmals im Juli 2023 solche als MalDoc bezeichneten Angriffstechniken \u00fcber infizierte PDF-Dateien beobachtet.<\/p>\n

<\/p>\n

\"\"Ich bin bereits vor einigen Tagen auf Twitter<\/a> \u00fcber die nachfolgende Meldung des JPCERT\/CC gestolpert. Die Sicherheitsbeh\u00f6rde hat das Ganze im Blog-Beitrag MalDoc in PDF – Detection bypass by embedding a malicious Word file into a PDF file <\/a>dokumentiert.<\/p>\n

\"MalDoc;<\/a><\/p>\n

Dort hei\u00dft es, dass JPCERT\/CC best\u00e4tigt hat, dass bei einem Angriff im Juli 2023 diese neue, MalDoc genannte, Technik verwendet wurde, um die Erkennung von Schaddateien durch Sicherheitssoftware zu umgehen. Dazu wurde eine eine b\u00f6sartige Word-Datei in eine PDF-Datei einbettet und dann an Opfer verschickt.<\/p>\n

Eine mit MalDoc in PDF erstellte Datei kann dabei in Microsoft Word ge\u00f6ffnet werden, obwohl sie die Magic Bytes und die Dateistruktur von PDF-Dokumenten besitzt. Enth\u00e4lt die so maskierte Word-Dokumentdatei ein Makro, wird der VBA-Code beim \u00d6ffnen des Dokuments in Word ausgef\u00fchrt. Dann lassen sich b\u00f6sartige Aktionen \u00fcber VBA durchf\u00fchren.<\/p>\n

Interessant ist, dass die bei dem von JPCERT\/CC best\u00e4tigten Angriff verwendete Dokumentdatei die Dateierweiterung .doc trug, obwohl sie die Magic Bytes sowie die Struktur einer PDF-Datei aufwies. Sobald in den Windows-Einstellungen der Dateityp .doc-Datei so konfiguriert ist, dass dieser in Word ge\u00f6ffnet wird (was ja Standard ist), wird die von MalDoc in PDF erstellte Datei als Word-Datei ge\u00f6ffnet.<\/p>\n

Im JPCERT\/CC-Beitrag findet sich ein Video, welches den Angriff zeigt. Zudem werden im Blog-Beitrag noch einige Details offen gelegt und die Sicherheitsbeh\u00f6rde gibt einige Hinweise, was man zur Erkennung solcher Schaddateien versuchen kann. Eine sichere Analyse verd\u00e4chtiger Dokumentdateien w\u00e4re das Tool OLEVBA<\/a>, Zudem haben die Experten der Sicherheitsbeh\u00f6rde eine YARA-Regel<\/a> zur Erkennung solcher Sch\u00e4dlinge ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag von dieser Woche: Das japanische CERT warnt vor einer neuen Technik von Cyberangreifern, die sch\u00e4dliche Word-Dateien nehmen und in PDF-Dokumente einbetten. Durch dieses \"Verpacken\" soll die Erkennung der sch\u00e4dlichen Office-Dokumente durch Sicherheitssoftware umgangen werden. JPCERT\/CC hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[2853,4328,507],"class_list":["post-285514","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-pdf","tag-sicherheit","tag-word"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285514"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285514\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}