it-swarm-eu.dev

Jak bezpečně zobrazit škodlivý soubor PDF?

Mám PDF] s důležitými informacemi, které mohou obsahovat malware. Jaký by byl nejlepší způsob, jak si ho zobrazit?

43
user11101

Využití dokumentu je zaměřeno nikoli na samotný dokument, ale spíše na určitou zranitelnost v prohlížeči. Pokud dokument zobrazíte v programu, který není zranitelný (nebo v konfiguraci, která tuto chybu zabezpečení ohrožuje), nebudete zneužiti.

Skutečným problémem je vědět, zda je váš prohlížeč zranitelný, což obvykle znamená vědět konkrétně, co je jeho zneužitím. Existují však alternativní PDF diváci, jako je foxit nebo dokonce vestavěný prohlížeč Google Chrome, který nemusí mít nutně stejná zranitelnost jako oficiální prohlížeč Adobe. To nemusí nutně platit pro všechny zranitelnosti, takže je důležité porozumět tomu, do čeho se dostáváte včas.

UPRAVIT
Pokud zjistíte, že se často potýkáte s potenciálně škodlivými materiály, bylo by velmi rozumné nastavit ztuhlé virtuální prostředí. Doporučuji zavedení do systému Linux a spuštění vašeho cílového OS (obvykle Windows) ve Virtualboxu nebo v podobném prostředí. Uložte snímek virtuálního operačního systému a po dokončení interakce se škodlivým obsahem se k němu znovu vraťte. Také není špatný nápad spouštět prostředí Host Linux z instalace pouze pro čtení (tj. Live-CD).

31
tylerl

Projděte jej pomocí prohlížeče PDF, který není náchylný k zneužití). Pokud je to prohlížeč někoho jiného, ​​je to ještě bezpečnější. Zkuste Dokumenty Google , kde jej budou analyzovat a zobrazte jej jako HTML, aby vás škodlivé užitečné zatížení nepoškodilo. (Jsem si jistý, že jejich syntaktický analyzátor PDF parser je mimořádně bezpečný), takže byste se neměli cítit špatně, pokud jde o jejich infikování. )

18
B-Con

pdf.js s prohlížečem v karanténě (jako je Chromium) ve virtuálním počítači bez přístupu k síti.

Pro malware by mělo být docela obtížné se z toho dostat.

7
ysdx

V této situaci jsem vždy používal příkaz „řetězce“ systému Unix/Linux/OSX Shell. V systémech * nix postupujte takto:

strings ScaryFile.pdf | less

Můžete také získat "řetězce" pro Windows, jak je uvedeno v Polynomial, níže. Můžete si ji stáhnout zde . Běží na XP nebo vyšší. Zde je příklad jeho použití ve Windows:

strings ScaryFile | findstr /i TextToSearchFor

Ale pro zbytek mé odpovědi zde předpokládám, že jsi na * nix, protože to je moje zkušenost se strunami. Za předpokladu, že vše, co hledáte, je textový obsah (nikoli bitmapy nebo vektorová grafika), můžete se posouvat dolů nebo hledat a najít kousky požadovaného textu. Bohužel, abyste to našli, musíte se brodit tunami metadat, z nichž většina je v XML, a formátováním nastavení v nějaké jiné značce, plus nějaké binární (jako ascii, nezpracované bajty). Možná budete chtít použít vyhledávací funkce příkazu „méně“. Chcete-li hledat v dokumentu řetězec citlivý na velikost písmen „thingyouwant“, použijte klávesu lomítka + řetězec + návrat:

/thingyouwant

Poté stiskem klávesy „n“ zobrazíte další instanci „věc“, znovu a znovu, dokud nenajdete, co chcete. Můžete použít "?" klíč k tomu samému směrem nahoru. Další kouzla naleznete na stránce méně lidí (zadejte „člověk méně“).

Můžete také analyzovat věci, jako jsou adresy URL, na které dokument odkazuje:

strings ScaryFile.pdf| grep -i "http" | sort | uniq | less

Jak je však uvedeno výše, 99% toho, co uvidíte z výstupu řetězců, bude nastavení metadat a formátování.

6
Luke Sheppard

Použijte virtuální stroj, který lze po testech vrátit do čisté břidlice. Pokud je čtečka PDF zranitelná), bude pravděpodobně méně ovlivněna vaše skutečná pracovní stanice.

6
user65388

Jednoduchý a přímý způsob, jak otevřít potenciálně škodlivé soubory PDF v počítači se systémem Windows, je použití prohlížeče Sumatra PDF.) Sumatra je malý, lehký PDF prohlížeč, který vůbec nepodporuje interaktivní vyplnitelné formuláře nebo javascript v PDF souborech).

Sumatra má také možnosti konfigurace, které ji ještě více zamkno , jako je zabránění systému souborů nebo přístupu na internet.

Formát souboru PDF má mnoho interaktivních funkcí určených k tomu, aby byl tento formát užitečnější, ale který vytváří významná bezpečnostní rizika, včetně: - použití javascript k poskytování interaktivního obsah , což umožňuje automatizaci uživatelského rozhraní - Schopnost interagovat s místnímsystém souborů - Schopnost vydat HTTP požadavek na vzdálený server - Schopnost nést užitečné zatížení libovolných příloh souborů, včetně malwar - schopnost předložit uživateli vyplnitelný formulář , a poté zachytit a jednat podle vyplněných informací. Tyto schopnosti společně vytvářejí výkonná sada nástrojů pro útočníka. Mnoho útoků typu „drive-by download“ závisí na použití souborů PDF).

Běžné PDF diváci se pokoušejí zajistit bezpečnost těchto funkcí vytvářením prostředí karantény nebo zadáním uživatelských výzev, ale tato řešení jsou složitější (a proto podléhají vlastním zranitelnostem) a méně kompatibilní s ostatními produkty stran než jednodušší řešení, kdy se tato funkce úplně vynechá.

Sumatra je jedním z příkladů prohlížeče PDF, který neposkytuje mnoho funkcí, které se nejčastěji používají při zneužití PDF). Úplným vyloučením celých kategorií potenciálu útoky, takové programy výrazně snižují riziko prohlížení neznámých PDF souborů).

Další výhodou použití méně oblíbeného prohlížeče je, že protože je méně běžný a méně výkonný, je to méně zajímavý cíl.

Prohlížeč Sumatry by mohl být využit speciálně vytvořenou PDF, která využívá například nějakou neznámou chybu, která způsobuje přetečení vyrovnávací paměti). Tyto případy jsou však vzácné a žádné nebyly v posledních letech pro Sumatru došlo k významným bezpečnostním zneužitím.

4
barbecue

Nejnovější verze programu Adobe Reader (verze 10.1 a vyšší) podporují „Chráněný režim“ nebo karanténu, kterou lze použít k prohlížení nedůvěryhodných souborů PDF=). Tím se účinně omezuje přístup proces zobrazení souboru PDF na %appdata%\Adobe\Acrobat a další soubory PDF, které uživatel explicitně otevře.

Chráněný režim je třeba aktivovat v nabídce Úpravy-> Předvolby a výběrem karty Obecné nebo Zabezpečení, v závislosti na verzi:

enter image description here

Před otevřením nedůvěryhodných budete samozřejmě chtít uzavřít všechny citlivé soubory PDF, jako jsou vaše bankovní výpisy.

2
Dmitry Grigoryev

Další snadnou a méně časově náročnou možností je otevřít ji v aplikaci Sandboxie, která by ji izolovala.

1
Lee

Můžeme říci VŠECHNY útoky v divočině nebo cílené útoky pomocí škodlivého PDF jsou pokryty technikami zmatení, aby se zpevnil proces analýzy nebo detekce.

Většina technik zmatení používá hlavně zmatek JavaScriptu, jako jsou eval (), String.fromCharCode (), argumenty.callee (), base64, a dokonce i s klíčovými hodnotami PDF), jako je například/Author,// Klíčová slova,/CreationDate atd.

Možná se nám nepodaří zobrazit obsah škodlivého souboru PDF (ty v rámci objektu PDF objektový tok)), protože může být deflovaný běžně pomocí FlateDecode. dostupné nástroje, které nám umožňují nafouknout obsah v rámci proudu objektů PDF, jako je pdf-parser (http://blog.didierstevens.com/programs/pdf-tools/) a FileInsight ( http://www.McAfee.com/us/downloads/free-tools/fileinsight.aspx) Většina zmateného kódu JavaScript bude ležet v nafouknutém proudu PDF stream).

Doporučujeme vám získat nejnovější opravenou verzi PDF čtečky s vypnutou funkcí JavaScriptu pro otevření souboru), ale dobrým řešením je získat virtuální stroj, kde jej můžete smazat nebo vrátit zpět snímek po otevření souboru.

1
d3t0n4t0r

V kontejneru můžete otevřít PDF). Zde je obrázek doku, který můžete použít: https://hub.docker.com/r/chrisdaish/acroread/

MY_PDF_DIR='/tmp/foobar'
docker pull chrisdaish/acroread
docker run  -v $MY_PDF_DIR:/home/acroread/Documents:rw \
        -v /tmp/.X11-unix:/tmp/.X11-unix \
        -e uid=$(id -u) \
        -e gid=$(id -g) \
        -e DISPLAY=unix$DISPLAY \
        --name acroread \
        chrisdaish/acroread

Otevře se Acrobat Reader, který se zobrazí přes místní X server.

Tento přístup snižuje povrch útoku, ale není 100% bezpečný, protože má přístup k vašemu X serveru.

1
Valer

Můžete použít méně oblíbenou kombinaci prohlížeč/OS. Myslím, že nikdo necílí na Okular běžící na FreeBSD (i když to může být stále zranitelné), takže pokud otevřete soubor v VM), měli byste být velmi bezpečný.

Aby se poškodilo, musí se nepoctivé užitečné zatížení shodovat s verzí prohlížeče a samozřejmě s architekturou OS a CPU. Je to opravdu nízkoúrovňové sestavení a paměťové věci (užitečné zatížení očekává, že bude umístěno na konkrétní adresu paměti a očekává, že budou k dispozici některé standardní systémové funkce). Pokud některou z nich změníte, pak se užitečné zatížení nemusí spustit správně (nebo se prohlížeč může jednoduše zřítit bez poškození).

0
filo