合法文件格式伪装(Legitimate File Format Spoofing)是通过仿冒常见办公文档或系统文件的格式特征实现数据隐匿的技术。攻击者将压缩加密后的数据嵌入经过结构仿真的文件容器(如DOCX、PDF),并构建完整的文件元数据体系。通过精确复制目标格式的文件头、目录结构、校验信息等特征,使恶意归档文件在文件类型检测、内容预览等环节呈现为正常文档,实则包含加密窃密数据。
该技术的匿迹机制依托于格式层与展示层的双重欺骗。首先,采用反向工程解析目标文件格式规范,构建包含合法OLE结构、字体嵌入等特征的容器框架。其次,在数据存储区部署加密载荷,并通过格式容错机制确保文件在常用办公软件中可正常开启预览(如显示诱饵内容)。技术实现中引入动态模板库,根据目标环境常用文件类型自动选择最佳伪装格式,并利用数字签名劫持技术为伪造文件附加有效签名。最终形成的伪装文件可穿透传统杀毒软件的静态检测,并在人工抽查时展示合规内容,实现数据隐匿与社交工程的有效结合。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon