Czy plik PDF może zawierać złośliwe oprogramowanie dowolnego typu?
Komentarze
- Sprawdź tę witrynę: canarytokens.org
Odpowiedź
Plik PDF zawiera wiele funkcji, które można wykorzystać w złośliwy sposób bez wykorzystania luki w zabezpieczeniach. Jeden z przykładów podaje Didier Stevens tutaj . Zasadniczo osadza plik wykonywalny i uruchamia go podczas otwierania pliku. Nie jestem pewien, jak dzisiejsze wersje czytelników sobie z tym radzą, ale jest to dobra metoda wykorzystywania funkcji PDF w złośliwy sposób.
Komentarze
- Czy taki plik PDF byłby niebezpieczny tylko w systemach operacyjnych ', takich jak Windows? Czy system uprawnień systemu Mac / Linux byłby w stanie zapobiec takiemu plikowi PDF ' s od automatycznego uruchamiania plików wykonywalnych?
- @Nav wykonujący kod ma niewiele wspólnego z systemem operacyjnym, a wszystko z czytnikiem. Wykonywanie kodu może wykonywać inny kod. Zasadniczo musisz zaufać czytnikowi nie rób czegoś głupiego, na przykład zezwalania plikowi PDF na wykonanie aplikacji.
- @Nav It ' Jest całkowicie możliwe, że polityka SELinuksa blokuje wykonywanie czytnika PDF jakiekolwiek programy.
- Linki PDF na tym blogu już nie działają.
Odpowiedź
Tak. PDF to bogaty format, który asi de z treści statycznej, może zawierać elementy dynamiczne. Ten ostatni może na przykład zawierać JavaScript i inne elementy. Współczesne przeglądarki PDF mają jednak tendencję do ostrzegania użytkowników przed potencjalną złośliwą aktywnością.
Jeśli szukasz przykładowego złośliwego oprogramowania, zajrzyj na stronę pidief .
I generalnie złośliwe oprogramowanie PDF będzie głównie dropperem, a nie samym ładunkiem.
Aby dowiedzieć się więcej na temat luk w zabezpieczeniach plików PDF i sposobów ich wykrywania, zanim wyrządzą jakiekolwiek szkody, przeczytaj to Dokumentacja kali na peepdf .
Odpowiedź
Tak, można.
To, czy plik jest złośliwy, czy nie, nie zależy od jego rozszerzenia (w ten przypadek PDF). Zależy to od luk w oprogramowaniu, które będzie je analizować. Na przykład czytnik PDF, którego używasz, potencjalnie zawiera lukę przepełnienia buforu, osoba atakująca może utworzyć specjalny plik PDF, aby wykorzystać tę lukę.
W związku z tym ochrona przed takimi atakami jest również łatwa, wystarczy upewnij się, że czytnik PDF jest aktualny.
Prosta wyszukiwarka Google doprowadziła mnie do przeglądu złośliwego oprogramowania PDF w Instytucie SANS , co wydaje się być dobrym pomysłem na początek.
Komentarze
- W przypadku programu Adobe Reader, którego prawdopodobnie używasz, jeśli nie ' t świadomie wybierz coś innego, biuletyny pod adresem helpx.adobe.com/security/products/reader.html wymieniają liczne naprawione luki w zabezpieczeniach, bez lub z niewielkimi szczegółami.
- @ Jor-el. Nic dziwnego, że ta strona wyświetla teraz błąd 404. Czy zechciałbyś ją ponownie znaleźć i podsumować w swojej odpowiedzi?
- (edycja: zaktualizowałem link – mimo to, właściwą rzeczą byłoby podsumowanie treści).
- " Ochrona poprzez ciągłe aktualizowanie " niekoniecznie jest ' łatwe ', ani nie gwarantuje wygranej ' t padnij ofiarą niezałatanego vulnera bility. Tak, ' to dobra rzecz, ale wymaga stałej dyscypliny. Adobe Reader ma tak wiele luk w zabezpieczeniach, że zawiera automatyczny aktualizator – czy naprawdę myślisz, że ' zostały już znalezione?