合法格式嵌套(Legitimate Format Nesting)是将恶意代码嵌入标准文档格式(如PDF、DOCX)的深层结构实现隐蔽存储的技术。攻击者利用文件格式规范中的未严格校验区域(如PDF的增量更新层、DOCX的CustomXML部件),将加密载荷存储在正常业务文档中,通过触发格式解析漏洞或合法功能(如宏执行)激活恶意代码。
该技术的匿迹性源于文件格式的复杂性与业务合理性。攻击者首先逆向分析目标组织常用文档模板,构建包含恶意代码片段与合法内容的混合文档。在技术细节层面,采用结构嵌套(如在PDF中嵌入多层Object Stream)、元数据隐写(修改Office文档的缩略图数据)等方式隐藏载荷。在触发机制上,结合文档格式的合法功能设计执行链,例如利用Excel的Power Query功能自动下载解密密钥,或通过Word字段代码执行内存注入。最终形成的恶意文档既可通过格式校验工具验证,又在渲染时触发隐蔽攻击行为,实现"白利用"与混淆技术的深度结合。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon