1. На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.
Скрыть объявление
Привет, Незнакомец! У тебя есть возможность Оставить комментарий в теме

Пример анализа вредоносного PDF-файла

Тема в разделе "H4X S0FTW4RE", создана пользователем Infoman, 16 ноя 2015.

  1. Infoman IPv6

    Infoman
    TS
    WebVoice
    Регистрация:
    12 июл 2011
    Сообщения:
    184
    Симпатии:
    86
    [​IMG]
    Проверять подозрительные PDF-файлы можно либо при помощи антивирусов, либо вручную с использованием сторонних утилит. Часто антивирусные сканеры не столь эффективны, когда дело касается вредоносных PDF-файлов, содержащих зашифрованный шелл код, в котором обычно эксплуатируются уязвимости в Adobe Acrobat Reader нулевого дня. Перед началом анализа познакомимся со структурой PDF-документа, что лучше понять, как работает и где находится шелл код.

    Структура PDF-документа

    Заголовок

    Первая строка указывает на версию, при помощи которой был создан PDF-файл. Например, %PDF-1.4 означает, что файл был создан в четвертой версии.

    Тело

    Тело PDF-файла включает объекты, формирующие содержимое документа. Под объектами подразумеваются шрифты, изображения, аннотации и текст. Кроме того, пользователь может добавить невидимые объекты или элементы. Объекты могут иметь отношение к функциям, например, к анимации или функциям, связанным с безопасностью. Тело PDF-файла поддерживает два типа чисел – целые и вещественные.

    Таблица перекрестных ссылок (xref table)

    Эта таблица содержит все ссылки на объекты и элементы, поддерживаемые форматом PDF. Кроме того, таблица перекрестных ссылок позволяет просматривать содержимое остальных страниц. Когда пользователь изменяет файл, таблица обновляется автоматически.

    Завершающая часть

    Завершающая часть содержит ссылки на таблицу перекрестных ссылок и всегда заканчивается словом %%EOF, которое означает, что файл закончился. В завершающей части могут находиться ссылки на другие страницы.

    Создание вредоносного PDF-файла через Metastploit

    После того как мы вкратце познакомились со структурой PDF-файла, установим старую версию Adobe Acrobat Reader (9.4.6 или 10-10.1.1) с уязвимостью Adobe U3D Memory Corruption Vulnerability. Вредоносный PDF-файл будем создавать при помощи Metasploilt. Анализ будет проводиться на базе дистрибутива KALI Linux. Откройте терминал и наберите команду msfconsole. Чтобы все работал без сучка и задоринки, необходимо установить некоторые переменные.

    После выбора вида эксплоита, необходимо указать полезную нагрузку, которая будет использоваться во время эксплуатации уязвимости на удаленной машине. Затем открываем в Meterpreter.

    Один из параметров при создании файла – LHOST, куда заносится IP-адрес нашей машины (чтобы выяснить IP-адрес, можно ввести команду ifconfig в другом терминале). После настройки параметров указываем тип эксплоита и создаем вредоносный PDF-файл.

    Файл сохранился в папке /root/.msf4/local.

    Копируем созданный файл на рабочий стол:

    root@kali :~# cd /root/.msf4/local
    root@kali :~# mv msf.PDF /root/Desktop


    Утилита PDFid

    Для просмотра содержимого PDF-файлов, например, элементов, объектов или JavaScript-кода, мы будем использовать утилиту PDFid. В файле одна страница. Вроде ничего подозрительного. А вот несколько JavaScript-объектов уже наталкивает на размышления. Также присутствует объект OpenAction, который будет запускать вредоносный JavaScript.

    Утилита Peepdf

    Peepdf – утилита, написанная на Python и предназначенная для анализа PDF-файлов. В peepdf есть все компоненты, которые нужны специалисту по компьютерной безопасности. Peepdf заменяет сразу несколько утилит. Поддерживается шифрование, Object Stream, эмуляция шелл кода, анализ Javascript и т. д. Кроме того, утилита показывает потенциальные уязвимости и подозрительные элементы, имеет функциональную интерактивную консоль, детектирует обфускацию (которую часто не замечают антивирусы) и содержит много других полезных функций.

    Анализ вредоносного файла

    Заходим в папку с вредоносным файлом и вводим команду /usr/bin/peepdf –f msf.pdf. Параметр –f заставляет утилиту игнорировать все ошибки. Вначале мы видим подсвеченный объект «object 15» с JavaScript-кодом. Далее – один объект «object 4» с двумя элементами: /AcroForm и /OpenAction. Последний объект - /U3D, свидетельствующий о том, что PDF-файл пытается эксплуатировать известную уязвимость. Найденные объекты будем просматривать в интерактивной консоли. Вводим команду /usr/bin/peepdf –i msf.pdf.

    Команда tree показывает иерархическую структуру файла. Начнем с анализа объекта «object 4» (/Acro-Form). Если мы введем команду object 4, появится другой объект. На данный момент мы не видим ничего важного или подозрительного за исключением объекта «object 2» (XFA-массив), содержащего элемент <fjdklsaj fodpsaj fopjdsio>, который также не содержит ничего подозрительного. Переходим к следующему объекту (Open Action) Здесь мы видим JavaScript-код, который будет запускаться при открытии PDF-файла. Остальная часть JavaScript-кода немного обфусцирована при помощи нескольких переменных с содержимым в шестнадцатеричной системе счисления. Далее мы видим распыление кучи (heap spraying) в связке с шелл кодом плюс несколько дополнительных байтов. Шелл код обычно кодируется при помощи Unicode, после чего используется функция unescape для перевода результатов кодирования в бинарный формат (теперь мы точно знаем, что имеем дело с вредоносным файлом).

    Методы защиты

    Вот некоторые способы защиты от вредоносных файлов:
    • Фильтрация электронной почты и содержимого веб-страниц.
    • Использование системы предотвращения вторжений.
    • Запрет JavaScript.
    • Запрет отображения PDF-файлов в браузерах.
    • Запрет доступа к файловой системе и сетевым ресурсам для приложений, предназначенных для чтения PDF-файлов.
    Источник: securitylab.ru
    Автор: YELIA MAMDOUH EL GHALY
     
  2. maik.blackvud 0x04

    maik.blackvud
    Регистрация:
    6 май 2014
    Сообщения:
    13
    Симпатии:
    1
    хм понятно на счёт в Adobe Acrobat Reader! А как же другие утилиты для чтения PDF?
    На пример STDU Viewer, DjvuReader, Foxit Reader и.т.д EXPLOIT(ы) там работать будут?
    или только в Adobe Acrobat Reader? просто я юзаю к примеру Foxit Reader как и большинство .
     
  3. Infoman IPv6

    Infoman
    TS
    WebVoice
    Регистрация:
    12 июл 2011
    Сообщения:
    184
    Симпатии:
    86
    Откуда такая статистика? :websmiles_01: Я могу так же обратное сказать. В статье описывается адобовская уязвимость, как информация к размышлению. Для других утилит свои баги.