JPCERT рассказывает, что такое полиглот файлы и знают ли они японский.
В июле 2023 года японская команда по чрезвычайным ситуациям в компьютерной безопасности (Japan’s computer emergency response team, JPCERT) обнаружила новый тип кибератак, в котором используются так называемые «полиглот файлы». Они объединяют в себе признаки PDF и Word документов, что позволяет легко обходить системы безопасности.
Разные приложения определяют «полиглотов» как файлы разных типов. Они могут выглядеть совершенно безвредными, если их рассматривать как документ одного формата, но при этом содержать вредоносный код в другом формате.
Образец, проанализированный JPCERT, представляет собой «полиглот», который большинство сканирующих инструментов распознают как PDF. Однако, если файл открыть через офисное приложение он будет функционировать как обычный Word документ (.doc). Для офисных сотрудников этот формат более привычен. Когда программа открыта, она активирует встроенный VBS макрос для загрузки и установки вредоносного ПО.
Стоит отметить, что эта кибератака не сработает, если в параметрах Microsoft Office запрещено автоматическое выполнение макросов. Пользователи, у которых такие настройки включены, будут в относительной безопасности.
Среди инструментов, способных обнаружить «полиглотов», JPCERT выделяет программу «OLEVBA». Алгоритм анализирует сложную структуру файла и может выявить вложенные элементы, содержащие вредоносный код.
Кроме того, команда разработала специальные правила для программы Yara — набор сигнатур, помогающих быстро распознавать подозрительные объекты.
На YouTube доступно видео, в котором эксперты показывают, как работают полиглот-атаки. Хотя такое явление, как «двуликие» документы, давно известно специалистам, специфический метод, представленный JPCERT, отличается новизной и поднимает вопрос о необходимости усиления мер безопасности.
Собираем и анализируем опыт профессионалов ИБ