El análisis de los archivos PDF maliciosos
Los archivos PDF se han convertido en muy común en el trabajo diario. Es difícil imaginar que las propuestas de negocio sin PDFs. El formato PDF se usa en casi todas las empresas para compartir ofertas comerciales, folletos de la empresa, e incluso las invitaciones.
Años anteriores no eran buenas para los usuarios de PDF, como se publicaron varias vulnerabilidades, tales como la vulnerabilidad de desbordamiento de búfer en versiones anteriores a la versión 9. Se observaron un montón de los ataques tratando de abusar del error mediante la ingeniería social o por hospedar archivos PDF maliciosos en Internet. Sólo el simple hecho de abrir el archivo PDF podría explotar una vulnerabilidad para descargar automáticamente los códigos maliciosos a través de Internet, y mostrar un archivo PDF señuelo para hacerte creer que nada malo ha sucedido.
Porcentaje de ataques en años anteriores
Los archivos PDF maliciosos se utilizan con frecuencia como parte de los ataques informáticos a escala masiva dirigidas y por estas razones. Es bueno saber analizar los archivos PDF, pero los analistas primero necesita un conocimiento básico de un PDF antes de que lo consideren maliciosa. Aquí está la información que usted necesita saber.
Estructura PDF
El PDF tiene capacidad para ofrecer contenidos ricos (estáticas y dinámicas). Combinados, estos elementos pueden entregar un documento visualmente atractivo, interactivo y portátil. Mientras que todos nos hemos beneficiado de este espacio de intercambio de información rica en características, existe un lado oscuro. Las capacidades de PDF dinámicos mencionados anteriormente pueden y han sido utilizados para albergar contenido malicioso. En años anteriores, los delincuentes incrustados script malicioso para instalar malware y robar las credenciales de usuario.
Normalmente, el comportamiento malicioso de malware PDF está en una escritura que se incrusta en archivos PDF. Las secuencias de comandos que son responsables de comportamientos maliciosos pueden ser escritos en un lenguaje de programación que soporta PDF. JavaScript es el más popular para este propósito. En la mayoría de los casos, los scripts incrustados son responsables de la funcionalidad del cuentagotas, o de lo contrario no hay necesidad de instalar un malware basado en sistema operativo en el sistema de la víctima.
Estructura Documento PDF
La estructura general de un archivo PDF se compone de los siguientes componentes de código:
Los valores booleanos, que representan verdaderas o falsas
Números
Cuerdas
Nombres
Matrices, colecciones ordenadas de objetos
Diccionarios, colecciones de objetos indexados por nombres
Arroyos, por lo general contienen grandes cantidades de datos
El objeto nulo
Estructura Documento PDF
Ejecutar malware con PDF
Una acción de lanzamiento se inicia una aplicación o se abre o imprime un documento. Podemos utilizar una de las muchas hazañas Adobe Acrobat en el marco de Metasploit para incrustar un exe con PDF.
cmd será inaugurado por el uso de la acción de lanzamiento anterior.
Podemos insertar malware en nuestro PDF con JavaScript porque JavaScript comúnmente utiliza aerosol montón de explotar.
Cuando abrimos cualquier archivo PDF malicioso, se ejecutará el código JavaScript y explota el JavaScript, después de eso, se procesa el código de shell y un troyano se ejecutará a través de Internet.
Crear un archivo PDF malicioso con Metasploit
Vamos a utilizar el "util.printf ()" Adobe Reader, una función JavaScript pila tampón vulnerabilidad de desbordamiento para crear un archivo PDF malicioso. Adobe Reader es propenso a una vulnerabilidad de desbordamiento de búfer basado en pila.
Los pasos para crear nuestro archivo PDF malicioso son los siguientes:
Abrir msfconsole y ejecutar el siguiente comando.
Una vez que tengamos elegidas todas las opcionesque establecen la forma en que queremos, ejecutar "explotar", para crear nuestro archivo malicioso.
Podemos ver que nuestro archivo PDF fue creado. ya se Puede acceder a este PDF utilizando la ruta dada. Si no hay ningún archivo visible, presione CTRL y H a la vez, para encontrar los archivos y carpetas ocultos.
Una de las cosas inportantes antes de enviar el archivo malicioso a nuestra víctima,Es que tenemos que definir un detector para captar esta conexión inversa.
Segun la victima va abriendo el archivo malicioso, la sesión y conexión con la víctima se ha establecido y que puede acceder al sistema de la víctima mediante el uso de meterpreter.
Los métodos de análisis de archivo PDF malicioso
El análisis de un archivo PDF implica examinar, decodificar y extraer el contenido de objetos PDF sospechosas que pueden ser utilizados para explotar una vulnerabilidad en Adobe Reader y ejecutar una carga maliciosa. Hay un número creciente de herramientas que están diseñadas para ayudar en este proceso.
Aunque, principalmente, el análisis de PDF se puede hacer de dos maneras: en línea y fuera de línea.
Analizadores de PDF en línea
Cada vez que sospeches de un archivo o recibas un archivo desde una fuente no confiable, es recomendable que se pueda escanear, con uno de los siguientes servicios en línea antes de que lo abra.
Los Analizadores de PDF en línea sirven, sobre todo, para facilitar nuestro trabajo.
Tan sólo tenemos que enviar el archivo PDF malicioso y el analizador en línea comenzará a escanear el PDF subido con varios sistemas de ataques conocidos.
Wepawet
Wepawet es un servicio para la detección y análisis de malware basado en web.
En la actualidad se encarga de Flash, JavaScript, y archivos PDF.
Para utilizar Wepawet, basta con ir a http://wepawet.iseclab.org . Subir una muestra o especificar una URL y se analizará el recurso y se generará un informe.
PDF Examinador
PDF examinador por malware Tracker es capaz de escanear el archivo PDF cargado por varios exploits conocidos y permite al usuario explorar la estructura del archivo, así como el examen, decodificación, y el vertido el contenido del objeto PDF.
Esta herramienta se presta bien a las tareas de análisis manuales PDF.
Para acceder hay que ir a la web www.malwaretracker.com Pulse la pestaña de + Pdf
pestaña exploración
examinador
y seleccione el PDF para escanear.
Jsunpack
Está diseñado para examinar de forma automática y JavaScript deobfuscating. Sus funciones también incluyen la talla contenido de la red de paquetes de captura (PCAP) archivos e identificar vulnerabilidades en el cliente comunes. También puede examinar los archivos PDF para los Exploits de JavaScript malicioso.
Para acceder hay que Ir a jsunpack.jeek.org.
Desconectado Analizador PDF
Si tenemos que examinar el PDF de forma manual, entonces recomendamos utilizar las siguientes herramientas.
PDF Corriente Dumper
Después de instalar PDF Corriente Dumper, cargue el archivo PDF sospechoso y comienza a nalizar su entorno. Puede ver diferentes colores en el lado derecho, donde el color rojo muestra encabezados con etiquetas JavaScript.
La herramienta incluye un número de firmas de conocidos explotación PDF.
Para escanear el archivo, seleccione "Exploits Scan" en el menú pulsando.
Nuestra PDF malicioso muestra que contiene un exploit de CVE-2008-2992.
Ahora estamos razonablemente seguros de que estamos tratando con un archivo PDF malicioso que explota la vulnerabilidad CVE-2008-2992 en Acrobat Reader para extraer y ejecutar un ejecutable malicioso incrustado en el PDF.
Podemos obtener más información acerca de la hazaña visitando cvedetails.com e introduciendo el número CVE de la hazaña.
Peepdf
Peepdf es una herramienta de Python para explorar los archivos PDF con el fin de averiguar si el archivo puede ser dañino o no. El objetivo de esta herramienta es proporcionar a todos los componentes necesarios que un investigador de seguridad podría necesitar en un análisis de PDF sin utilizar tres o cuatro herramientas para llevar a cabo todas las tareas.
Aquí tenemos maliciouspdf.pdf, que es el archivo PDF que queremos analizar.
Si hay algunos objetos mediante código Java Script en el contenido PDF, podemos utilizar el JS comandos para analizarlos.
Podemos ver claramente en la imagen anterior que el objeto n º 5 es JavaScript, por el que se requiere PyV8.
Después de analizar el código JavaScript del objeto, podemos obtener la URL del exe que se une a la PDF.
Origami
Origami es un entorno de Ruby diseñado para analizar, analizar y falsificar documentos PDF. Se puede utilizar para crear sobre la marcha PDFs personalizados, o para inyectar código (malware) en documentos ya existentes.
Pdfid
Pdfid es una utilidad que puede extraer información útil a partir de un archivo PDF. Específicamente, pdfid extractos información de encabezado del PDF como Java Script, obj, endobj, arroyo y otra información. Algunos exploits PDF alteran esta información, por lo pdfid veces puede mostrar al usuario qué es exactamente lo que está pasando dentro del PDF.
Protección
Habilite las actualizaciones automáticas.
Desactivar la integración PDF navegador.
Siempre instale el último parche / actualización, incluso para versiones de producto de Adobe mayores.
Deshabilitar JavaScript.
Desactive la opción "Permitir que los archivos adjuntos no PDF con aplicaciones externas" para prevenir la vulnerabilidad acción de lanzamiento.
Utilice alternativas PDF como Foxit, Sumatra, PDF XChange.
en resumen
Varias vulnerabilidades fueron encontradas en años anteriores y que sigue aumentando día a día, por lo que es importante analizar cualquier archivo PDF antes de abrirlo, porque el simple hecho de abrir el archivo PDF podría explotar una vulnerabilidad para descargar automáticamente el código malicioso desde Internet. Podemos analizar cualquier archivo PDF mediante el uso de enfoque en línea o fuera de línea enfoque. Para la protección que tenemos que utilizar el lector de PDF alternativo y siempre instalar la actualización o revisión de lector de PDF.
Referencia
www.slideshare.net/null0x00/client-side-exploits-using-pdf
blog.zeltser.com/post/3235995383/pdf-stream-dumper-malicious-file-analysis
www.infosec.gov.hk/sc_chi/promotion/files/20100311_04.pdf
code.google.com / p / peepdf /
code.google.com / p / origami-pdf
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias