» »

Skrivanje zlonamernih PDF dokumentov v "nedolžne" PDF dokumente

Skrivanje zlonamernih PDF dokumentov v "nedolžne" PDF dokumente

Vključen PDF v osnovnem PDF-ju

Slo-Tech - Felipe Manzano, neodvisni varnostni raziskovalec iz Argentine je pred kratkim na svojem blogu objavil prispevek o vključevanju zlonamernih datotek v PDF dokumente.

Kot namreč določa PDF specifikacija, je v PDF dokumente mogoče vključevati različne datoteke. Manzano pa v svojem prispevku piše o tem, kako v nedolžen PDF dokument vključiti in skriti zlonamerni PDF dokument.

Z nekaj preprostimi triki je mogoče tudi doseči, da se ta vključeni PDF ne prikaže kot priponka, pač pa se samodejno odpre takoj, ko uporabnik odpre osnovni dokument.

Manzano je nato ustvaril PDF, ki vsebuje zlonamerno kodo (sicer ne naredi nobene škode), ga vključil v neproblematičen osnovni PDF in preveril ali protivirusniki na Virustotal.com v končnem PDF dokumentu zaznajo virus (oz zlonamerno kodo).

Rezultat: 0/41. Od 41 protivirusnikov zlonamerne kode v tako ustvarjenem PDF dokumentu ni zaznal niti eden.

Can we hide evil files from antivirus software? YES we can!

29 komentarjev

Izi ::

Tole zna biti pa velik problem.
Ljudje so se že večinoma navadili, da ne poganjajo priponk v e-mailih, sedaj pa smo dobili še neprimerno večji problem.
Enako kot e-mail vsi uporabljamo PDF datoteke, ampak če se priponke sploh ne vidi in se samodejno požene ne moremo narediti popolnoma nič proti okužbi.
WE ARE DOOMED !!! :))

Nujno bo treba narediti popravek v vseh programih za pregledovanje PDF dokumentov.

Naj še dodam, da meni omenjenega PDF dokumenta noče odpreti. Pri odpiranju se odpre okenček "Iskalnik napak Javanskih skriptov", ki napiše, da dokument vsebuje 1 skripto, ki pa ima napako in potem se vsaj na videz ne zgodi nič.

Zgodovina sprememb…

  • spremenil: Izi ()

amigo_no1 ::

virtual box @ win xp sp3 x32

1. za odpiranje uporabim Adober reader 7 (AR7) + avira AV free (v9.0.0.418 , AV baza z dne 14.1 2010))
avira zazna "nevarnost" in ponudi standarni meni (move, delete, deny, ignore)

izklopim aviro in AR7 pove da omenjen pdf uporablja JavaScript ter vpraša če hočem vklopiti JavaScript ?


2. za odpiranje uporabim foxit v3
odpre prazen pdf (avira ne javi nič)

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

tj6000 ::

microsoftov av mi ne pusti odpreti datoteke... mogoče pa ni tako hudo ;)
www.dBastards.si

neres ::

Veliko ljudi sploh ne ve, da lahko PDF readerji izvajajo javascript ukaze iz PDFjev, kar je sicer po mojem bedarija in ne spada v PDF. Se pa na srečo to lahko izklopi, čeprav še nedavno je bil v PDF readerjih standard da je to po defaultu vklopljeno.
Po drugi strani pa ti iz varnostnih razlogov teži za vsak link, ki ga hočeš odpret...

poweroff ::

http://isc.sans.org/diary.html?storyid=...

Od kolega:
Za razliko od ostalih troj. konjev v pdf dokumentih je tokrat bila uporabljena metoda, ki razmece podatke po celem dokumentu in so prisotni v pdf-u kot prazni objekti. Slike npr., ki skrivajo v sebi kodo. In ko si odprl dokument, je bila ze vsa koda v pdf-u za razliko od starejsih metod, ki so navadno z neta nato zdownloadale trojanca
sudo poweroff

denial ::

Izklop JavaScript-a bi v tem primeru rešil zadevo. Embedded PDF (file.pdf) bi se še vedno izvedel, ne pa tudi potencialna zlonamerna koda. Vendar Acrobat 9 in Reader 9 renderirata tudi ActionScript. New attack vector :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

Adobe je eno sranje, ne vidim ure da začnemo ignorirat to firmo.
Vaša inštalacija je uspešno spodletela!

zee ::

Se je kar treba strinjat. Adobe Reader, Adobe Flash, ...
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

lebang1 ::

Mene mi nod32 zazna v tem pdf-ju zlonamerno pizdarijo :)

ABX ::

Mene mi nod32 zazna v tem pdf-ju zlonamerno pizdarijo :)


Očitno uporabljaš Adobe, kar pomeni da zlonamerna koda lahko sploh dela.
Zamenjaj PDF reader, tako da virus ne bo delal sploh.


2. za odpiranje uporabim foxit v3
odpre prazen pdf (avira ne javi nič)


Foxit reader ima slabšo podporo za viruse. :)
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

noraguta ::

Mene mi nod32 zazna v tem pdf-ju zlonamerno pizdarijo :)


Očitno uporabljaš Adobe, kar pomeni da zlonamerna koda lahko sploh dela.
Zamenjaj PDF reader, tako da virus ne bo delal sploh.

sej mu virus ne dela. pa drugi readerji so tko tko kompatibilni z zadnjimi extensioni.
Pust' ot pobyedy k pobyedye vyedyot!

denial ::

Heap spraying deluje BP tudi na Foxit Readerju. As long as JS is enabled.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

Mene mi nod32 zazna v tem pdf-ju zlonamerno pizdarijo :)


Očitno uporabljaš Adobe, kar pomeni da zlonamerna koda lahko sploh dela.
Zamenjaj PDF reader, tako da virus ne bo delal sploh.

sej mu virus ne dela. pa drugi readerji so tko tko kompatibilni z zadnjimi extensioni.


Po temu kar razlagaš virus se sproži ter ga anti-virus zaustavi. Kaj boš naredil ča anti-virus ne bo imel definicije za mutiran virus? Rajši uporabi reader ki ne sproži viruse.

Heap spraying deluje BP tudi na Foxit Readerju. As long as JS is enabled.


Verjetno (verjamem na besedo), vendar v zgornjem primeru, virus ne dela v kolikor uporabiš Foxit reader.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

noraguta ::


Po temu kar razlagaš virus se sproži ter ga anti-virus zaustavi. Kaj boš naredil ča anti-virus ne bo imel definicije za mutiran virus? Rajši uporabi reader ki ne sproži viruse.


foxit ima probleme recimo že z digitalnim podpisom. pa še kaj se najde , odvisno če gre samo za branje lahko uporabljaš alternative sicer pa ne vedno.
Pust' ot pobyedy k pobyedye vyedyot!

ABX ::


Po temu kar razlagaš virus se sproži ter ga anti-virus zaustavi. Kaj boš naredil ča anti-virus ne bo imel definicije za mutiran virus? Rajši uporabi reader ki ne sproži viruse.


foxit ima probleme recimo že z digitalnim podpisom. pa še kaj se najde , odvisno če gre samo za branje lahko uporabljaš alternative sicer pa ne vedno.


Se strinjam, Foxit ni 100% rešitev za PDF, vendar Adobe ne taknem z palico.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

neres ::

Mimogrede, obstaja kar nekaj PDF bralnikov.

Jaz sem šel iz Foxita na PDF X-Change Viewer.

Golden eye ::

še en glas za PDF X-Change Viewer

slitkx ::

Microsoftov AV je odjebal PDF barabo.

5er--> ::

Virustotal za tole datoteko javlja, da ga 2 AV zaznata (MS in Trendmicro).

jeronimus ::

V ubuntuju prikaže le prazn dokument :D

mtosev ::

je ta "problem" tudi v foxit? eni ne uporabljamo adobejevega bloata.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Lonsarg ::

Jest se pa sprašujem a je tako težko dodati eno samo vrstico v Microsoft OSu. "Ne dovoli NIČEMUR razen samemu sebi spreminjat kritične system file, brez admin privilegijev"

Ena sama vrstica v kodi, ki jo linux ima, windows pa ne. Pa lahko razdeseteri količino okužb...

ker v tem primeru bi UAC javil, da hoče Adobe admin access za ivajanje nečesa in vsak pametn uporabnik bi rekel lepo ne(kaj Ima Adobe za nucat admin access)

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Seljak ::

Meni Kaspersky ne odpre dokumenta:D

gumby ::

Meni Kaspersky ne odpre dokumenta:D

A je sploh kdaj odpiral .pdf?
my brain hurts

denial ::

@mtosev:
Zakje ne poskusiš? PDF ni malicious. Vse kar naredi je debug trap:
var shellcode = unescape("%ucccc%ucccc");

Itak bo zadeva vse pogosteje odkrita ko bodo AV vendorji dodajali podpis v svoje baze. Kar ni rešitev (beri: use different obfuscation).

@Azgard:
V konkretnem primeru bi potencialna zlobna koda imela privilegije uporabnika ki je PDF file odprl. V vseh novejših Oknih bi to bil LUA user.

Sicer nisem preveril vendar ne vidim razloga zakaj omenjena tehnika ne bi delovala tudi v Adobe Readerju za *NIX.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

mtosev ::

MSE se je oglasil. :) :) MS AV works:)
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Ericssony ::

Foxit Phantom odpre prazen dokument (JavaScript onemogočen), MSE javi zlonamerno kodo...

poweroff ::

Fantje, ne štekate. AV firme so se naučile prepoznati točno tale dokument, to je pa vse.
sudo poweroff

Brane2 ::

A ni PDF derivat PS-a, ta pa v bistvu Forth program ?

Če je tako, a se ne da sesuti kar Forth mašine, ki je v prikazovalnem programu in se ni treba zaj* z JavaScriptom ?
On the journey of life, I chose the psycho path.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Elektronsko podpisovanje pdf dokumentov

Oddelek: Pomoč in nasveti
123485 (3173) St753
»

Nativno branje PDF-dokumentov v brskalniku s pdf.js

Oddelek: Novice / Brskalniki
177372 (5853) madmitch
»

Skrivanje zlonamernih PDF dokumentov v "nedolžne" PDF dokumente

Oddelek: Novice / Zasebnost
295068 (3804) Brane2
»

pdf dokument - help!

Oddelek: Programska oprema
92124 (2023) ender
»

kodna tabela za generacijo pdf dokumentov s php-jem

Oddelek: Programiranje
61326 (1191) sajmun

Več podobnih tem