ÖNEMLİ BULGULAR
- Bilgisayar korsanları, kötü amaçlı Word belgelerini PDF’lerin içine yerleştirmek için çok dilli dosyalar kullanıyor.
- Bu dosyalar bir biçimde görünebilir ancak uygulamaya bağlı olarak başka bir biçimde yorumlanabilir.
- PDF’deki MalDoc saldırısı, PDF analiz araçları, korumalı alanlar ve antivirüs yazılımı gibi geleneksel algılama mekanizmalarından kaçabilir.
- Ancak ‘OLEVBA’ gibi bazı analiz araçlarıyla tespit edilebilmektedir.
- Kendinizi bu saldırıdan korumak için Microsoft Office’teki makroları devre dışı bırakın ve çok katmanlı bir güvenlik yaklaşımı kullanın.
Japonya’nın bilgisayar acil durum müdahale ekibindeki (JPCERT) güvenlik uzmanları, ‘PDF formatında MalDoc’ olarak adlandırılan yeni bir siber saldırı tekniğini ortaya çıkardı. Bu yenilikçi yöntem, kötü amaçlı Word dosyalarının PDF belgelerine yerleştirilmesini içerir ve bilgisayar korsanlarının geleneksel algılama mekanizmalarından kaçarken kötü amaçlı yazılım yaymasına olanak tanır.
Teknik, bir format olarak görünen ancak uygulamaya bağlı olarak başka bir format olarak yorumlanabilen çok dilli dosyalar kavramına dayanır. Japonya’nın bilgisayar acil durum müdahale ekibinin (JPCERT) ‘PDF’de MalDoc’ saldırısına ilişkin araştırması, poliglotlardan (açılan uygulamaya bağlı olarak farklı türlerde yürütülebilen iki farklı format içeren dosyalar) yararlanıyor. Bu durumda, bilgisayar korsanları hem PDF hem de Word belge formatlarını kullanarak kötü amaçlı dosyanın her iki formatta da çalışmasına olanak tanır.
Siber suçlular, çok dilli dosyalardan yararlanarak, bir biçimde zararsız görünen ancak diğerinde kötü amaçlı kod içeren belgeler oluşturur. ‘PDF’de MalDoc’ saldırısında, bir PDF belgesi, VBS makrosunu barındıran bir Word dosyasını gizler. Makro, Microsoft Office’te .doc dosyası olarak açıldığında, savunmasız sistemlere bir MSI kötü amaçlı yazılım dosyası indirir ve yükler.
Ancak, bu saldırının kurbanın bilgisayarında etkinleştirilen makrolara dayandığını unutmamak önemlidir; Makroları devre dışı bırakmak etkili bir güvenlik önlemi olmaya devam ediyor.
Bilginiz olsun: Çok dilli dosya, aynı anda birden fazla formatta veya uygulamada geçerli ve işlevsel olacak şekilde tasarlanmış bir bilgisayar dosyası türüdür. Esasen, onu açan yazılıma bağlı olarak farklı şekilde yorumlanabilecek tek bir dosyadır.
Bu özellik genellikle saldırganlar tarafından bir bağlamda zararsız görünen ancak diğerinde kötü amaçlı kod içeren dosyalar oluşturmak için kullanılır; böylece gizli kötü amaçlı içeriği tespit edemeyebilecek güvenlik önlemleri atlanır.
‘PDF’de MalDoc’un ustalığı, PDF analiz araçları, sanal alanlar ve antivirüs yazılımları için kafa karışıklığına yol açabilir; bu yazılımlar, gömülü kötü amaçlı bileşenleri algılamada başarısız olabilir. Ancak ‘OLEVBA’ gibi bazı analiz araçları hala gizli tehditleri tespit edebiliyor, bu da çok katmanlı bir güvenlik yaklaşımının etkili olmaya devam ettiğini gösteriyor.
JPCERT, bu yöntemi dağıtan dosyaların tanımlanmasına yardımcı olmak için bir Yara kuralını paylaşır. Bu kural, aynı dosyadaki hem PDF hem de Word belge formatlarını gösteren kalıpları kontrol ederek olası tehditleri tespit etmenin bir yolunu sunar.
İLGİLİ MAKALELER
- Bilgisayar korsanları, PDF kötü amaçlı yazılımını yaymak için Google App Engine’i kötüye kullanıyor
- Belge Verimliliğini Artırmak İçin Bilmeniz Gereken 5 PDF Püf Noktası
- PDF Gömülü Word Belgesinde Makro Aracılığıyla Gönderilen Bankacılık Kötü Amaçlı Yazılımları