MalDoc in PDF

なにかのように見えるけれども中身は別の何かだった、というものはこれまでもありました。
今回注目されているのは、PDFだと思ったら中身は悪性マクロ付きのWord文書だった、というものです。
どんなものなのでしょうか。

拡張子
そのファイルが何者なのかを示す判定として拡張子が利用される場合がありますが、どのようなファイル名が付いていたとしても、そのファイルの中身は関係ありません。
とはいっても、拡張子は、やはり、中身を想像する情報の一つとなります。
今回確認されている攻撃では、拡張子は「.doc」でした。
このため、このファイルは開こうとするとWordで開かれます。
ファイルの構造
ファイルは、言わば、データの塊です。
通常は、最初に後続のデータの種類やバージョンを示すヘッダー的な部分があり、その後ろにその種類のデータの情報部分が続きます。
App1ヘッダー→App1データ、のような形式です。
MalDoc in PDFでは、ここが異なります。
App1ヘッダー→App1データ→App2ヘッダー→App2データ、のような形式になっているのです。
このApp1部分が今回の場合PDFです。
そしてApp2部分がMacroつきのmhtになっています。
ファイルの種類を判定するようなアプリケーションでみると、このファイルはPDFと判定されますが、Wordで開くことができるファイルとして動作します。
中身の分析
通常のPDFの属性の中にマクロを埋め込むような形式の攻撃が存在します。
そういった攻撃に使われるMalDocの場合、pdfidなどのPDF分析ツールでその悪性部分を可視化することができます。
しかし、このMalDoc in PDFの場合、PDFの属性部分に悪性の要素が埋め込まれているわけではありませんので、そういったツールで問題を可視化することはできません。
pdfidだけでなく、既存のSandboxやウイルス対策ソフトなどでも、このファイルを判定する際に、PDFとして認識してPDFのための検査のみを実施してしまうケースは少なくなさそうです。

このMalDoc in PDFで作られたファイルの悪性部分を正しく可視化できるツールはあります。
たとえば、それはOLEVBAです。
OLEVBAでこのMalDoc in PDFで作られたファイルを可視化すると、ファイル種別がMHTMLというMIMEのマルチパート構造のファイルであると正しく認識します。
そしてさらに、マルチパートの一部であるWord文書部分にマクロが含まれていることを認識し、そのマクロ部分を可視化できます。

この手法は、あくまでもファイル形式を誤認させるということを実現させるための動きだけを実現しています。
このため、現在確認されているMalDoc in PDFで作成されたマクロが実行される際には、Microsoft
Officeのマクロ自動実行無効化のセキュリティ設定をバイパスしません。
この意味では、従来からある安全のための取り組みを正しく実施することは、この脅威の対策ともなります。

しかし同時に、MalDoc in PDFは単に手法です。
この手法を他の攻撃手法と掛け合わせて攻撃を構成された場合、マクロ自動実行無効化は回避されてしまうかもしれません。
さまざまな安全化の対策は是非実施しておくべきですが、そもそもとして、入手元に気をつけるということは、やはり重要といえそうです。