Pliki PDF, dzięki popularności wśród użytkowników, od dawna stanowią jeden z najpopularniejszych sposobów dostarczania złośliwego oprogramowania. Tym bardziej niepokoi fakt odkrycia pliku PDF, który mimo złośliwego kodu ominął wszystkie antywirusy.
Na pierwszy przykład złośliwego pliku PDF korzystającego z innowacyjnej metody ukrywania się przed systemami antywirusowymi natrafił kilka dni temu Brandon Dixon, analityk zajmujący się badaniem próbek złośliwego oprogramowania. Otrzymał on nietypowy plik PDF – zawarty w formacie XDP. Uruchomiony w kontrolowanym środowisku wykonał się prawidłowo, infekując maszynę. Na czym polegała wyjątkowość tego pliku?
Co to takiego to XDP
Format XDP (XML Data Package) został stworzony przez Adobe 9 lat temu. Zgodnie z jego specyfikacją służy do przechowywania zawartości plików PDF w formacie XML (elementy binarne wymagają konwersji do base64). Okazuje się, że programy antywirusowe nie potrafią zidentyfikować złośliwego kodu zawartego w plikach tego formatu, a czytnik PDFów Adobe Reader wyświetla je (i wykonuje złośliwy kod) bez żadnego problemu!
Wynik 0/42 w VirusTotal
Aby udowodnić realność zagrożenia, Dixon stworzył przykładowy plik przy użyciu narzędzia heavy_pint. W pliku PDF zawarł exploit z roku 2009 (nawet nie zaciemniając JavaScriptu) po czym umieścił PDFa w kontenerze XDP. Plik wynikowy wysłał do serwisu VirusTotal. Wynik – 0/42! Oznacza to, że producenci programów antywirusowych nie zawarli w nich metod pozwalających na wykrycie tego rodzaju zagrożeń.
0/42 – oh, really?
Co ciekawe, udało nam się znaleźć artykuł poświęcony unikaniu wykrycia złośliwego kodu przez antywirusy poprzez zastosowanie formatu XDP, pochodzący z początku roku 2011. Autor artykułu również wysłał spreparowany plik do serwisu VirusTotal i otrzymał wynik 0/42. I to już 16 miesięcy temu!
Jak żyć?
Prawdopodobnie wieść o nowym sposobie dostarczania złośliwego kodu na komputery użytkowników szybko rozniesie się po internecie. Co można zrobić, by uniknąć infekcji? Pomijając wyjątkową czujność podczas otwierania plików typu XDP proponujemy utworzenie odpowiednich reguł na bramkach email i systemach wykrywania infekcji w Waszych organizacjach.
Komentarz