it-swarm-tr.com

Kötü amaçlı bir PDF nasıl güvenli bir şekilde görüntülenir?

Ben bir PDF kötü amaçlı yazılım içerebilecek önemli bilgiler var. Onu görüntülemek için en iyi yolu ne olurdu?

43
user11101

Belge tabanlı istismarlar belgenin kendisine değil, görüntüleyicideki bazı güvenlik açıklarına yöneliktir. Belgeyi savunmasız olmayan bir programda (veya güvenlik açığını engelleyen bir yapılandırmada) görüntülerseniz, bundan yararlanılmayacaksınız.

Asıl mesele, izleyicinizin savunmasız olup olmadığını bilmek, bu da genellikle istismarın ne olduğunu bilmek anlamına gelir. Ancak, alternatif PDF Foxit veya hatta Google chrome'un yerleşik görüntüleyicisi gibi Adobe'nin resmi görüntüleyicisi ile aynı güvenlik açıklarına sahip olması gerekmeyen alternatif görüntüleyiciler vardır. Bu, tüm güvenlik açıkları, bu nedenle önceden ne aldığınızı anlamak önemlidir.

DÜZENLEMEK
Kendinizi sık sık zararlı olabilecek materyallerle uğraşırken bulursanız, sertleştirilmiş bir sanal ortam oluşturmak çok akıllıca olacaktır. Bir Linux sistemine önyükleme yapmanızı ve hedef işletim sisteminizi (genellikle Windows) Virtualbox veya benzeri bir ortamda çalıştırmanızı öneririm. Sanal işletim sisteminin bir anlık görüntüsünü kaydedin ve kötü amaçlı içerikle etkileşimi tamamladıktan sonra bu anlık görüntüye geri dönün. Ayrıca, Host Linux ortamını salt okunur bir kurulumdan (yani Live-CD) çalıştırmak kötü bir fikir değildir.

31
tylerl

İstismara karşı savunmasız olmayan bir PDF görüntüleyici) koyun. Başkasının görüntüleyicisi ise daha da güvenlidir. Google Dokümanlar 'ı deneyin. ve HTML olarak görüntüler, böylece kötü niyetli yük size zarar vermez. (Eminim ki PDF ayrıştırıcısı son derece güvenlidir, bu yüzden onlara bulaşma konusunda kendinizi kötü hissetmemelisiniz). )

18
B-Con

Ağ erişimi olmayan sanal bir makinede korumalı bir tarayıcı (Chromium gibi) ile pdf.js kullanın.

Bir kötü amaçlı yazılımın bundan çıkması oldukça zor olmalıdır.

7
ysdx

Bu durumda daima Unix/Linux/OSX Shell komutunu "string" olarak kullandım. * Nix sistemlerinde şunları yapın:

strings ScaryFile.pdf | less

Ayrıca, aşağıda Polinom tarafından belirtildiği gibi Windows için "dizeler" de alabilirsiniz. İndirebilirsin burada . XP veya daha yüksek sürümlerde çalışır. İşte Windows'ta kullanmaya bir örnek:

strings ScaryFile | findstr /i TextToSearchFor

Ama buradaki cevabımın geri kalanı için * nix'te olduğunuzu varsayacağım, çünkü bu benim tellerle ilgili deneyimim. Aradığınız tek şey metin içeriği (bitmapler veya vektör grafikleri değil) varsayarsak, aşağı kaydırabilir veya ihtiyacınız olan metnin parçalarını arayabilir ve bulabilirsiniz. Ne yazık ki, bunu bulmak için, çoğu XML'de bulunan tonlarca meta veri ve diğer bazı biçimlendirme ayarları ve bazı ikili dosyalar (ham baytlar değil, ascii olarak) üzerinden geçmeniz gerekiyor. Bu nedenle "less" komutunun arama özelliklerini kullanmak isteyebilirsiniz. Belgede büyük/küçük harfe duyarlı "şey you" dizesini aramak için, eğik çizgi tuşunu + dizeniz + dönüşünü kullanın:

/thingyouwant

Ardından, istediğiniz şeyi bulana kadar bir sonraki "thingyouwant" örneğini görmek için "n" tuşuna basın. "?" aynı şeyi yukarı yönde yapmak için anahtar. Daha fazla sihir için daha az man sayfasına bakın ("man less" yazın).

Ayrıca, dokümanın bağlandığı URL'lere benzer şeyleri analiz edebilirsiniz:

strings ScaryFile.pdf| grep -i "http" | sort | uniq | less

Ancak, yukarıda belirtildiği gibi, "dizelerin" çıktısında göreceğinizlerin% 99'u meta veri ve biçimlendirme ayarları olacaktır.

6
Luke Sheppard

Testlerden sonra kayrakları temizlemek için geri döndürülebilen sanal bir makine kullanın. PDF okuyucu zayıfsa, gerçek iş istasyonunuzun etkilenme olasılığı daha düşük olacaktır.

6
user65388

Bir Windows bilgisayarda muhtemelen kötü amaçlı PDF'leri açmanın basit ve basit bir yolu Sumatra PDF görüntüleyiciyi kullanmaktır. Sumatra, PDF dosyalarında etkileşimli doldurulabilir formlar veya javascript için hiçbir desteği olmayan küçük, hafif PDF görüntüleyicidir.

Sumatra ayrıca daha da fazla kilitlemek için yapılandırma seçeneklerine sahiptir , dosya sistemini veya internet erişimini engelleme gibi.

PDF dosya biçimi, biçimi daha kullanışlı hale getirmeyi amaçlayan ancak aşağıdakiler de dahil olmak üzere önemli güvenlik riskleri yaratan birçok etkileşimli özelliğe sahiptir: - Etkileşimli içerik sağlamak için javascript kullanımı , kullanıcı arayüzünün otomasyonuna izin verir - yerel ile etkileşim kurmadosya sistemi - uzak sunucuya HTTP isteği gönderme yeteneği - yetenek rasgele dosya eklerinin bir yükünü taşımak, kötü amaçlı yazılım dahil - kullanıcıya bir doldurulabilir form sunma ve sonra doldurulmuş bilgileri yakalama ve bunlara göre hareket etme Bu yeteneklerin bir araya gelmesi, bir saldırgan için güçlü bir araç seti oluşturur. "Arabayla indirme" adı verilen birçok saldırı PDF dosyalarının kullanımına dayanır.

Ortak PDF izleyiciler, sanal alan ortamları oluşturarak veya kullanıcıya bilgi vererek bu özellikler için güvenlik sağlamaya çalışır, ancak bu çözümler hem daha karmaşıktır (ve bu nedenle kendi güvenlik açıklarına tabidir) ve diğer tarafların ürünleriyle daha az uyumludur bu işlevselliği tamamen dışarıda bırakmanın daha basit çözümü.

Sumatra, PDF açıklamasında en sık kullanılan işlevlerin çoğunu sağlamayan PDF görüntüleyicisinin bir örneğidir. Tüm potansiyel saldırı kategorilerini tamamen ortadan kaldırarak, bu tür programlar bilinmeyen PDF dosyalarını görüntüleme riskini büyük ölçüde azaltır.

Daha az popüler bir görüntüleyici kullanmanın diğer bir avantajı, hem daha az yaygın hem de daha az güçlü olması nedeniyle daha az ilginç bir hedef olmasıdır.

Sumatra görüntüleyicisi, örneğin bir arabellek taşmasına neden olmak için bilinmeyen bazı hatalardan yararlanan özel hazırlanmış bir PDF tarafından kullanılabilir. Ancak bu tür vakalar nadirdir ve son yıllarda Sumatra için önemli bir güvenlik açığı olmamıştır.

4
barbecue

Adobe Reader'ın en son sürümleri (sürüm 10.1 ve üstü) "Korumalı Mod" veya güvenilmeyen PDF dosyalarına erişmek için kullanılabilen korumalı alan) destekler. PDF dosyasını %appdata%\Adobe\Acrobat ve kullanıcı tarafından açıkça açılan diğer PDF'ler.

Korumalı mod, sürüme bağlı olarak Düzenle-> Tercihler menüsüne gidip Genel veya Güvenlik sekmesini seçerek etkinleştirilmelidir:

enter image description here

Açıkçası, güvenilmeyen olanı açmadan önce banka ekstreniz gibi hassas PDF'leri kapatmak istersiniz.

2
Dmitry Grigoryev

Başka bir kolay ve daha az zaman alan seçenek, onu izole edecek olan Sandboxie uygulamasında açmaktır.

1
Lee

Kötü amaçlı veya hedefli saldırının TÜM kötü niyetli PDF dosyası, analiz veya algılama işlemini sertleştirmek için gizleme teknikleri ile kapsanıyor) diyebiliriz.

Gizleme tekniğinin çoğu temel olarak eval (), String.fromCharCode (), arguments.callee (), base64 ve hatta PDF gibi anahtar değerleri/Yazar,/Anahtar kelimeler,/CreationDate vb.

Kötü niyetli PDF dosyasının (PDF nesne akışı) içindekiler) FlateDecode ile sık sık indirilebileceği için içeriğini görüntüleyemeyebiliriz. PDF nesne akışı dahilindeki içeriği pdf-ayrıştırıcı (http://blog.didierstevens.com/programs/pdf-tools/) ve FileInsight ( http://www.McAfee.com/us/downloads/free-tools/fileinsight.aspx) Gizlenmiş JavaScript kodunun çoğu, şişirilmiş PDF akışı) içinde yer alır.

Dosyayı açmak için PDF okuyucuyu kapatılmış JavaScript işlevine sahip en son yamalı sürümünü almanızı tavsiye edebiliriz, ancak iyi bir çözüm, dosyayı silebileceğiniz veya geri alabileceğiniz bir sanal makine edinmektir. dosyayı açtıktan sonra anlık görüntü.

1
d3t0n4t0r

PDF bir kapta açabilirsiniz. İşte kullanabileceğiniz bir liman işçisi resmi: https://hub.docker.com/r/chrisdaish/acroread/

MY_PDF_DIR='/tmp/foobar'
docker pull chrisdaish/acroread
docker run  -v $MY_PDF_DIR:/home/acroread/Documents:rw \
        -v /tmp/.X11-unix:/tmp/.X11-unix \
        -e uid=$(id -u) \
        -e gid=$(id -g) \
        -e DISPLAY=unix$DISPLAY \
        --name acroread \
        chrisdaish/acroread

Bu, yerel X sunucusu üzerinden görüntülenecek bir Acrobat Reader açacaktır.

Yaklaşım saldırı yüzeyini azaltır, ancak X sunucunuza erişimi olduğu için% 100 güvenli değildir.

1
Valer

Daha az popüler bir görüntüleyici/işletim sistemi kombinasyonu kullanabilirsiniz. Sanırım kimse FreeBSD üzerinde Okular çalışmasını hedefliyor (yine de savunmasız olabilir), bu yüzden dosyayı VM) çok güvenli olmalısınız.

Zarar vermek için haydut yükünün görüntüleyici sürümü ve işletim sistemi ve CPU mimarisi ile eşleşmesi gerekir. Gerçekten düşük seviyeli Montaj ve bellek şeyleridir (yük belirli bir bellek adresine yerleştirilmeyi bekler ve bazı standart sistem işlevlerinin kullanılabilir olmasını bekler). Bunlardan herhangi birini değiştirirseniz, faydalı yük düzgün çalışmayabilir (veya izleyici zarar vermeden çökebilir).

0
filo