bencede
New member
Japon CERT, kötü amaçlı yazılımların tespit edilmekten kaçınmak için kullandığı yeni keşfedilen dolandırıcılık konusunda uyarıyor. Bilgisayar araştırmacıları bu teknolojiye “MalDoc’tan PDF’ye” adını veriyor çünkü bu teknoloji, PDF dosyasındaki kötü amaçlı bir Word belgesini gizliyor. Sonuç olarak birçok virüs tarayıcısı ve analiz aracı bunları bulamıyor.
Duyuru
JPCERT BT güvenliği araştırmacıları bir blog yazısında temmuz ayında bu saldırıyla saldırıyı keşfettiklerini yazıyor. “MalDoc’tan PDF’ye” dosyası Word ile açılabilir, ancak Word, PDF dosyalarının biçimini ve yapısını belirten sihirli baytları kullanır. Dosya makrolar içeriyorsa, kötü amaçlı etkinlikler de dahil olmak üzere bunlar yürütülür, ancak saldırı, kendi kendine ayarlanan bir makro bloğunu atlamaz. Gözlemlenen durumda dosya uzantısı .doc idi. Word, Windows’ta .doc dosyaları için dosya yöneticisi olarak yapılandırılmışsa, Microsoft Office yazılımı “MalDoc’tan PDF’ye” dosyalarını açar.
MalDoc’tan PDF’ye: PDF yapısına sahip Word belgesi
Bilgisayar araştırmacılarından alınan bir ekran görüntüsü, dosyanın PDF yapısına sahip olduğunu gösteriyor. Hala Word ile açılabilir. Dosyaya ayrıca MHT (Toplu HTML Belgelerinin MIME Kapsüllenmesi) gibi bir makro da eklenir, yani HTML sayfalarının sözde arşivi olarak.
BT güvenliği araştırmacıları ayrıca PDF ayrıştırma araçlarının büyük olasılıkla dosyadaki kötü amaçlı parçaları tanımadığını söylüyor. Dosyanın Word ile açıldığında istenmeyen eylemler gerçekleştirdiğini ekliyorlar. Dosya PDF görüntüleyicilerde veya benzer yazılımlarda açıldığında kötü amaçlı makrolar çalışmaz. Dosya Magicbytes tarafından PDF olarak tanındığından, genel sanal alanlar veya antivirüs yazılımları onu tanımayabilir.
MalDoc’tan PDF’ye dosyası, PDF’nin sihirli baytlarından yararlanır ve kötü amaçlı bir VBS makrosunu gömülü bir MHT dosyasında gizler.
(Resim: JPCERT)
Bir karşı önlem olarak bilgisayar bilimcileri, örneğin şüpheli belgelerin OLEVBA ile incelenmesini öneriyor. Yerleşik makroları çıkarabilir ve ardından dosyanın kötü amaçlı kısımlarını daha ayrıntılı şekilde analiz edebilir. JPCERT ayrıca PDF’lerde Excel dosyalarının varlığı konusunda uyarıda bulunan örnek bir YARA kuralına da sahiptir. BT yöneticileri bunları kendi ek kuralları için bir başlangıç noktası olarak kullanabilir. MalDoc-in-PDF dosyalarında açıcıdan gelen makro uyarının da ciddiye alınması gerektiğini unutmamak da önemlidir.
Duyuru
Siber suçlular, kötü amaçlı yazılımlarını tüm savunmasız platformlarda gizlemeye ve tespit edilmekten korumaya çalışır. Örneğin, kötü amaçlı Android uygulamaları, kullanılan şifrelemeyle ilgili yanlış başlıklar ekleyerek statik analizden kaçmaya çalışır. Neyse ki çoğu durumda bu manipüle edilmiş dosyalar çalıştırılamaz.
(Bilmiyorum)
Haberin Sonu
Duyuru
JPCERT BT güvenliği araştırmacıları bir blog yazısında temmuz ayında bu saldırıyla saldırıyı keşfettiklerini yazıyor. “MalDoc’tan PDF’ye” dosyası Word ile açılabilir, ancak Word, PDF dosyalarının biçimini ve yapısını belirten sihirli baytları kullanır. Dosya makrolar içeriyorsa, kötü amaçlı etkinlikler de dahil olmak üzere bunlar yürütülür, ancak saldırı, kendi kendine ayarlanan bir makro bloğunu atlamaz. Gözlemlenen durumda dosya uzantısı .doc idi. Word, Windows’ta .doc dosyaları için dosya yöneticisi olarak yapılandırılmışsa, Microsoft Office yazılımı “MalDoc’tan PDF’ye” dosyalarını açar.
MalDoc’tan PDF’ye: PDF yapısına sahip Word belgesi
Bilgisayar araştırmacılarından alınan bir ekran görüntüsü, dosyanın PDF yapısına sahip olduğunu gösteriyor. Hala Word ile açılabilir. Dosyaya ayrıca MHT (Toplu HTML Belgelerinin MIME Kapsüllenmesi) gibi bir makro da eklenir, yani HTML sayfalarının sözde arşivi olarak.
BT güvenliği araştırmacıları ayrıca PDF ayrıştırma araçlarının büyük olasılıkla dosyadaki kötü amaçlı parçaları tanımadığını söylüyor. Dosyanın Word ile açıldığında istenmeyen eylemler gerçekleştirdiğini ekliyorlar. Dosya PDF görüntüleyicilerde veya benzer yazılımlarda açıldığında kötü amaçlı makrolar çalışmaz. Dosya Magicbytes tarafından PDF olarak tanındığından, genel sanal alanlar veya antivirüs yazılımları onu tanımayabilir.
MalDoc’tan PDF’ye dosyası, PDF’nin sihirli baytlarından yararlanır ve kötü amaçlı bir VBS makrosunu gömülü bir MHT dosyasında gizler.
(Resim: JPCERT)
Bir karşı önlem olarak bilgisayar bilimcileri, örneğin şüpheli belgelerin OLEVBA ile incelenmesini öneriyor. Yerleşik makroları çıkarabilir ve ardından dosyanın kötü amaçlı kısımlarını daha ayrıntılı şekilde analiz edebilir. JPCERT ayrıca PDF’lerde Excel dosyalarının varlığı konusunda uyarıda bulunan örnek bir YARA kuralına da sahiptir. BT yöneticileri bunları kendi ek kuralları için bir başlangıç noktası olarak kullanabilir. MalDoc-in-PDF dosyalarında açıcıdan gelen makro uyarının da ciddiye alınması gerektiğini unutmamak da önemlidir.
Duyuru
Siber suçlular, kötü amaçlı yazılımlarını tüm savunmasız platformlarda gizlemeye ve tespit edilmekten korumaya çalışır. Örneğin, kötü amaçlı Android uygulamaları, kullanılan şifrelemeyle ilgili yanlış başlıklar ekleyerek statik analizden kaçmaya çalışır. Neyse ki çoğu durumda bu manipüle edilmiş dosyalar çalıştırılamaz.
(Bilmiyorum)
Haberin Sonu