it-swarm-eu.dev

Wie kann ich ein schädliches PDF sicher anzeigen?

Ich habe eine PDF mit wichtigen Informationen, die möglicherweise Malware enthalten. Wie kann ich sie am besten anzeigen?

43
user11101

Dokumentbasierte Exploits richten sich nicht auf das Dokument selbst, sondern auf eine Sicherheitslücke im Viewer. Wenn Sie das Dokument in einem Programm anzeigen, das nicht anfällig ist (oder in einer Konfiguration, die die Sicherheitsanfälligkeit verhindert), werden Sie nicht ausgenutzt.

Das eigentliche Problem besteht darin, zu wissen, ob Ihr Betrachter anfällig ist oder nicht. Dies bedeutet normalerweise, dass Sie genau wissen, um welchen Exploit es sich handelt. Es gibt jedoch alternative PDF-Viewer wie foxit oder sogar den in Google Chrome integrierten Viewer, die nicht unbedingt dieselben Schwachstellen aufweisen wie der offizielle Viewer von Adobe. Dies gilt nicht unbedingt für alle Schwachstellen, daher ist es wichtig zu verstehen, worauf Sie sich im Voraus einlassen.

EDIT
Wenn Sie häufig mit potenziell schädlichen Materialien zu tun haben, ist es sehr ratsam, eine gehärtete virtuelle Umgebung einzurichten. Ich würde empfehlen, ein Linux-System zu starten und Ihr Zielbetriebssystem (normalerweise Windows) in Virtualbox oder einer ähnlichen Umgebung auszuführen. Speichern Sie einen Snapshot des virtuellen Betriebssystems und kehren Sie dann zu diesem Snapshot zurück, nachdem Sie mit der Interaktion mit dem schädlichen Inhalt fertig sind. Es ist auch keine schlechte Idee, die Host-Linux-Umgebung von einer schreibgeschützten Installation (d. H. Live-CD) aus auszuführen.

31
tylerl

Führen Sie es durch einen PDF -Viewer, der für den Exploit nicht anfällig ist. Wenn es sich um den Viewer eines anderen handelt, ist dies sogar noch sicherer. Versuchen Sie Google Docs , wo er es analysiert und zeigen Sie es als HTML an, damit die böswilligen Nutzdaten Ihnen keinen Schaden zufügen. (Ich bin sicher, dass der Parser PDF) extrem sicher ist, sodass Sie sich nicht schlecht fühlen sollten, wenn Sie sie möglicherweise infizieren. )

18
B-Con

Verwenden Sie pdf.js mit einem Sandbox-Browser (z. B. Chromium) in einer virtuellen Maschine ohne Netzwerkzugriff.

Es sollte für eine Malware ziemlich schwierig sein, daraus herauszukommen.

7
ysdx

In dieser Situation habe ich immer den Unix/Linux/OSX-Shell-Befehl "strings" verwendet. Gehen Sie auf * nix-Systemen folgendermaßen vor:

strings ScaryFile.pdf | less

Sie können auch "Zeichenfolgen" für Windows erhalten, wie unten von Polynomial erwähnt. Sie können es herunterladen hier . Läuft auf XP oder höher. Hier ist ein Beispiel für die Verwendung unter Windows:

strings ScaryFile | findstr /i TextToSearchFor

Aber für den Rest meiner Antwort hier gehe ich davon aus, dass Sie auf * nix sind, da dies meine Erfahrung mit Strings ist. Angenommen, Sie suchen nur nach Textinhalten (keine Bitmaps oder Vektorgrafiken), können Sie nach unten scrollen oder Teile des benötigten Textes suchen und finden. Um es zu finden, müssen Sie leider Tonnen von Metadaten durchsuchen, von denen die meisten in XML vorliegen, und Formatierungseinstellungen in einem anderen Markup sowie einige Binärdateien (als ASCII, keine Rohbytes). Daher möchten Sie möglicherweise die Suchfunktionen des Befehls "less" verwenden. Verwenden Sie den Schrägstrich + Ihre Zeichenfolge + Rückgabe, um das Dokument nach der Groß-/Kleinschreibung "thingyouwant" zu durchsuchen:

/thingyouwant

Drücken Sie dann die Taste "n", um die nächste Instanz von "thingyouwant" immer wieder zu sehen, bis Sie das finden, was Sie wollen. Du kannst den ... benutzen "?" Schlüssel, um dasselbe nach oben zu tun. Weitere Informationen finden Sie auf der Seite weniger Man (Typ "Mann weniger").

Sie können auch analysieren, auf welche URLs das Dokument verweist:

strings ScaryFile.pdf| grep -i "http" | sort | uniq | less

Wie oben erwähnt, werden 99% der Ausgaben für "Zeichenfolgen" Metadaten und Formatierungseinstellungen sein.

6
Luke Sheppard

Verwenden Sie eine virtuelle Maschine, die nach Tests zurückgesetzt werden kann, um Slate zu reinigen. Wenn der Reader PDF) anfällig ist, ist die Wahrscheinlichkeit, dass Ihre reale Workstation betroffen ist, sehr viel geringer.

6
user65388

Eine einfache und unkomplizierte Möglichkeit, möglicherweise schädliche PDF-Dateien auf einem Windows-Computer zu öffnen, ist die Verwendung des Viewers Sumatra PDF. Sumatra ist ein kleines, leichtes PDF Viewer, der keinerlei Unterstützung für interaktive ausfüllbare Formulare oder Javascript in PDF -Dateien) bietet.

Sumatra hat auch Konfigurationsoptionen, um es noch weiter zu sperren , z. B. das Verhindern des Dateisystems oder des Internetzugangs.

Das Dateiformat PDF) verfügt über viele interaktive Funktionen, die das Format nützlicher machen sollen, jedoch erhebliche Sicherheitsrisiken mit sich bringen, darunter: - Verwendung von Javascript zur Bereitstellung interaktiver Inhalte , die die Automatisierung der Benutzeroberfläche ermöglicht - Die Fähigkeit, mit dem lokalen zu interagierenDateisystem - die Fähigkeit, eine HTTP-Anfrage an einen Remote-Server zu senden - die Fähigkeit, eine zu übertragen Nutzlast beliebiger Dateianhänge, einschließlich Malware - die Fähigkeit, dem Benutzer ein ausfüllbares Formular zu präsentieren und dann die ausgefüllten Informationen zu erfassen und darauf zu reagieren. Diese Fähigkeiten zusammen ergeben a Leistungsstarkes Toolkit für einen Angreifer. Viele sogenannte "Drive-by-Download" -Angriffe basieren auf der Verwendung von PDF -Dateien).

Common PDF Viewer versuchen, Sicherheit für diese Funktionen zu bieten, indem sie Sandbox-Umgebungen erstellen oder den Benutzer dazu auffordern. Diese Lösungen sind jedoch sowohl komplexer (und unterliegen daher ihren eigenen Schwachstellen) als auch weniger kompatibel mit anderen Produkte der Parteien als die einfachere Lösung, diese Funktionalität einfach ganz wegzulassen.

Sumatra ist ein Beispiel für einen PDF Viewer, der nicht viele der Funktionen bietet, die am häufigsten in PDF Exploits) verwendet werden. Durch vollständige Eliminierung ganzer Kategorien von Potenzialen Angriffe, solche Programme reduzieren das Risiko der Anzeige unbekannter PDF Dateien) erheblich.

Ein weiterer Vorteil der Verwendung eines weniger beliebten Viewers besteht darin, dass es ein weniger interessantes Ziel ist, da es sowohl weniger verbreitet als auch weniger leistungsfähig ist.

Der Sumatra-Viewer könnte möglicherweise von einem speziell gestalteten PDF] ausgenutzt werden, der einen unbekannten Fehler ausnutzt, um beispielsweise einen Pufferüberlauf zu verursachen. Solche Fälle sind jedoch selten und es gab keine bedeutende Sicherheits-Exploits für Sumatra in den letzten Jahren.

4
barbecue

Neueste Versionen von Adobe Reader (Version 10.1 und höher) unterstützen "Geschützter Modus" oder Sandboxing, mit dem nicht vertrauenswürdige PDF - Dateien angezeigt werden können. Dies schränkt den Zugriff auf effektiv ein Der Prozess zeigt die Datei PDF to to %appdata%\Adobe\Acrobat und andere PDFs an, die vom Benutzer explizit geöffnet werden.

Der geschützte Modus muss aktiviert werden, indem Sie im Menü Bearbeiten-> Einstellungen auf die Registerkarte Allgemein oder Sicherheit klicken, je nach Version:

(enter image description here

Natürlich möchten Sie vertrauliche PDF-Dateien wie Ihre Kontoauszüge schließen, bevor Sie die nicht vertrauenswürdigen öffnen.

2

Eine andere einfache und weniger zeitaufwändige Option ist das Öffnen in der Sandboxie-App, wodurch es isoliert wird.

1
Lee

Wir können sagen, dass ALLE Angriffe in freier Wildbahn oder gezielte Angriffe mit böswilligen PDF -Dateien mit Verschleierungstechniken abgedeckt sind, um den Analyse- oder Erkennungsprozess zu beschleunigen.

Die meisten Verschleierungstechniken verwenden hauptsächlich JavaScript-Verschleierung wie eval (), String.fromCharCode (), argument.callee (), base64 und sogar mit PDF Schlüsselwerten wie/Author,/Schlüsselwörter,/CreationDate und etc.

Möglicherweise können wir den Inhalt der böswilligen Datei PDF (die im Objektstrom PDF)) nicht anzeigen, da er möglicherweise häufig mit FlateDecode deflationiert wird Tools, mit denen wir den Inhalt innerhalb des Objektstroms PDF) aufblasen können, z. B. pdf-parser (http://blog.didierstevens.com/programs/pdf-tools/) und FileInsight ( http://www.McAfee.com/us/downloads/free-tools/fileinsight.aspx). Der größte Teil des verschleierten JavaScript-Codes befindet sich im aufgeblasenen PDF Stream).

Wir können Ihnen raten, die neueste gepatchte Version von PDF reader mit deaktivierter JavaScript-Funktion zum Öffnen der Datei zu erwerben. Die gute Lösung besteht jedoch darin, eine virtuelle Maschine zu erwerben, auf der Sie sie löschen oder zurücksetzen können der Schnappschuss nach dem Öffnen der Datei.

1
d3t0n4t0r

Sie können das PDF in einem Container öffnen. Hier ist ein Docker-Image, das Sie verwenden können: https://hub.docker.com/r/chrisdaish/acroread/

MY_PDF_DIR='/tmp/foobar'
docker pull chrisdaish/acroread
docker run  -v $MY_PDF_DIR:/home/acroread/Documents:rw \
        -v /tmp/.X11-unix:/tmp/.X11-unix \
        -e uid=$(id -u) \
        -e gid=$(id -g) \
        -e DISPLAY=unix$DISPLAY \
        --name acroread \
        chrisdaish/acroread

Dadurch wird ein Acrobat Reader geöffnet, der über den lokalen X-Server angezeigt wird.

Der Ansatz reduziert die Angriffsfläche, ist jedoch nicht 100% sicher, da er Zugriff auf Ihren X-Server hat.

1
Valer

Sie können eine weniger beliebte Kombination aus Viewer und Betriebssystem verwenden. Ich denke, niemand zielt auf Okular ab, das unter FreeBSD ausgeführt wird (obwohl es immer noch anfällig sein kann). Wenn Sie also die Datei in einem VM öffnen), sollten Sie sehr sicher sein.

Um Schaden zuzufügen, muss die unerwünschte Nutzlast natürlich mit der Viewer-Version und dem Betriebssystem sowie der CPU-Architektur übereinstimmen. Es handelt sich wirklich um Low-Level-Assembly- und Speichermaterial (die Nutzdaten werden voraussichtlich an einer bestimmten Speicheradresse platziert und einige Standardsystemfunktionen sind verfügbar). Wenn Sie eine dieser Optionen ändern, wird die Nutzlast möglicherweise nicht ordnungsgemäß ausgeführt (oder der Viewer stürzt einfach ab, ohne Schaden zu verursachen).

0
filo