it-swarm-id.com

Bagaimana cara melihat PDF berbahaya dengan aman?

Saya memiliki PDF dengan informasi penting yang mungkin mengandung malware. Apa cara terbaik untuk melihatnya?

43
user11101

Eksploitasi berbasis dokumen diarahkan bukan pada dokumen itu sendiri, tetapi pada beberapa kerentanan dalam pemirsa. Jika Anda melihat dokumen dalam program yang tidak rentan (atau dalam konfigurasi yang menghambat kerentanan), maka Anda tidak akan dieksploitasi.

Masalah sebenarnya adalah mengetahui apakah pemirsa Anda rentan atau tidak, yang biasanya berarti mengetahui secara spesifik apa yang dieksploitasi. Tetapi ada alternatif PDF pemirsa seperti foxit atau bahkan Google built-in viewer yang tidak selalu memiliki kerentanan yang sama dengan pemirsa resmi Adobe. Ini belum tentu benar untuk semua kerentanan , jadi penting untuk memahami apa yang Anda hadapi sebelumnya.

SUNTING
Jika Anda sering berhadapan dengan materi yang berpotensi berbahaya, akan sangat bijaksana untuk membuat lingkungan virtual yang mengeras. Saya akan merekomendasikan boot ke sistem Linux dan menjalankan OS target Anda (biasanya Windows) di Virtualbox atau lingkungan serupa. Simpan snapshot OS virtual, dan kembali ke snapshot itu setelah Anda selesai berinteraksi dengan konten jahat. Selain itu, bukan ide yang buruk untuk menjalankan lingkungan Host Linux dari instalasi hanya-baca (mis. Live-CD).

31
tylerl

Letakkan melalui penampil PDF yang tidak rentan terhadap eksploitasi. Jika penampil orang lain, itu bahkan lebih aman. Coba Google Documents , di mana mereka akan menguraikannya dan tampilkan sebagai HTML, sehingga muatan berbahaya tidak akan membahayakan Anda. (Saya yakin parser PDF parser ini sangat aman, jadi Anda seharusnya tidak merasa bersalah karena kemungkinan menginfeksi mereka). )

18
B-Con

Gunakan pdf.js dengan browser kotak pasir (seperti Chromium) di mesin virtual tanpa akses jaringan.

Seharusnya cukup rumit untuk keluar dari malware ini.

7
ysdx

Dalam situasi ini saya selalu menggunakan perintah "strings" Unix/Linux/OSX Shell. Pada sistem * nix, lakukan ini:

strings ScaryFile.pdf | less

Anda juga bisa mendapatkan "string" untuk Windows, seperti yang disebutkan oleh Polinomial, di bawah ini. Anda dapat mengunduhnya di sini . Berjalan pada XP atau lebih tinggi. Ini adalah contoh menggunakannya di Windows:

strings ScaryFile | findstr /i TextToSearchFor

Tetapi untuk sisa jawaban saya di sini saya akan menganggap Anda berada di * nix, karena itu adalah pengalaman saya dengan string. Dengan asumsi semua yang Anda cari adalah konten teks (bukan bitmap atau grafik vektor), Anda dapat menggulir ke bawah atau mencari dan menemukan bit teks yang Anda butuhkan. Sayangnya, untuk menemukannya Anda harus mengarungi berton-ton metadata, yang sebagian besar dalam XML, dan memformat pengaturan di beberapa markup lainnya, ditambah beberapa biner (seperti ascii, bukan byte mentah). Jadi, Anda mungkin ingin menggunakan kemampuan pencarian dari perintah "less". Untuk mencari dokumen untuk string case-sensitive "thingyouwant", gunakan tombol slash + string Anda + pengembalian:

/thingyouwant

Kemudian tekan tombol "n" untuk melihat contoh "thingyouwant" berikutnya, berulang-ulang sampai Anda menemukan yang Anda inginkan. Anda bisa menggunakan "?" kunci untuk melakukan hal yang sama ke arah atas. Lihat halaman manual lebih sedikit (ketik "man less") untuk lebih banyak sihir.

Anda juga dapat menganalisis hal-hal seperti URL yang ditautkan dengan dokumen:

strings ScaryFile.pdf| grep -i "http" | sort | uniq | less

Tetapi, seperti yang dinyatakan di atas, 99% dari apa yang akan Anda lihat dari output "string" akan menjadi metadata dan pengaturan format.

6
Luke Sheppard

Gunakan mesin virtual yang dapat dikembalikan untuk membersihkan papan tulis setelah pengujian. Jika pembaca PDF rentan, stasiun kerja Anda yang sebenarnya akan jauh lebih kecil kemungkinannya untuk terpengaruh.

6
user65388

Cara sederhana dan mudah untuk membuka PDF yang mungkin berbahaya pada komputer Windows adalah dengan menggunakan Sumatra PDF viewer. Sumatra adalah kecil, ringan PDF viewer yang tidak memiliki dukungan apa pun untuk formulir yang dapat diisi interaktif atau javascript dalam PDF file.

Sumatra juga memiliki opsi konfigurasi untuk menguncinya lebih jauh , seperti mencegah sistem file atau akses internet.

Format file PDF memiliki banyak fitur interaktif yang dimaksudkan untuk membuat format lebih berguna, tetapi yang menciptakan risiko keamanan yang signifikan, termasuk: - Penggunaan javascript untuk menyediakan konten interaktif , yang memungkinkan otomatisasi antarmuka pengguna - Kemampuan untuk berinteraksi dengan lokalsistem file - kemampuan untuk mengeluarkan permintaan HTTP ke server jauh - kemampuan untuk membawa muatan lampiran file yang sewenang-wenang, termasuk malware - kemampuan untuk menyajikan formulir yang dapat diisi kepada pengguna, dan kemudian menangkap dan menindaklanjuti informasi yang diisi kemampuan ini yang dikombinasikan bersama-sama membuat toolkit yang kuat untuk penyerang. Banyak serangan yang disebut "drive-by download" bergantung pada penggunaan file PDF.

Umum PDF pemirsa berupaya memberikan keamanan untuk fitur-fitur ini dengan membuat lingkungan kotak pasir atau memberikan permintaan kepada pengguna, tetapi solusi ini keduanya lebih kompleks (dan karenanya tunduk pada kerentanan mereka sendiri) dan kurang kompatibel dengan yang lain produk pihak dari solusi sederhana hanya meninggalkan fungsi itu sepenuhnya.

Sumatra adalah salah satu contoh penampil PDF yang tidak menyediakan banyak fungsi yang paling umum digunakan dalam eksploitasi PDF. Dengan sepenuhnya menghilangkan seluruh kategori potensial serangan, program tersebut sangat mengurangi risiko melihat file yang tidak diketahui PDF.

Keuntungan lebih lanjut dari menggunakan pemirsa yang kurang populer adalah karena keduanya kurang umum dan kurang kuat, itu adalah target yang kurang menarik.

Penampil Sumatra dapat dieksploitasi oleh PDF yang dibuat khusus yang memanfaatkan beberapa bug yang tidak dikenal untuk menyebabkan buffer overflow, misalnya. Namun, kasus seperti ini jarang terjadi, dan belum ada eksploitasi keamanan yang signifikan untuk Sumatra dalam beberapa tahun terakhir.

4
barbecue

Versi terbaru dukungan Adobe Reader (versi 10.1 dan lebih tinggi) "Mode Terlindungi" atau kotak pasir yang dapat digunakan untuk melihat file PDF) yang tidak terpercaya. Ini secara efektif membatasi akses proses menampilkan file PDF ke %appdata%\Adobe\Acrobat dan PDF lainnya yang dibuka secara eksplisit oleh pengguna.

Mode terproteksi harus diaktifkan dengan masuk ke menu Edit-> Preferences dan memilih tab General atau Security, tergantung pada versinya:

enter image description here

Tentunya, Anda ingin menutup PDF sensitif seperti laporan bank Anda sebelum membuka yang tidak terpercaya.

2
Dmitry Grigoryev

Opsi lain yang mudah dan tidak terlalu memakan waktu adalah membukanya di aplikasi Sandboxie, yang akan mengisolasinya.

1
Lee

Kita dapat mengatakan SEMUA dari serangan in-the-wild atau yang ditargetkan menggunakan file jahat PDF ditutupi dengan teknik kebingungan untuk mengeraskan proses analisis atau deteksi.

Sebagian besar teknik kebingungan terutama menggunakan kebingungan JavaScript seperti eval (), String.fromCharCode (), arguments.callee (), base64, dan bahkan dengan PDF nilai kunci seperti/Penulis,/Kata kunci,/Tanggal Pembuatan, dll.

Kami mungkin tidak dapat melihat konten dari file jahat PDF (yang ada di dalam aliran objek PDF)) karena mungkin akan kempes secara umum dengan FlateDecode. Tetapi ada alat yang tersedia untuk memungkinkan kita mengembang konten dalam aliran objek PDF, seperti pdf-parser (http://blog.didierstevens.com/programs/pdf-tools/) dan FileInsight ( http://www.McAfee.com/us/downloads/free-tools/fileinsight.aspx) Sebagian besar kode JavaScript yang dikaburkan akan terletak di dalam aliran PDF yang meningkat.

Kami dapat menyarankan Anda untuk mendapatkan versi tambalan terbaru PDF pembaca dengan fungsi JavaScript yang dimatikan untuk membuka file, tetapi solusi yang baik adalah dengan mendapatkan mesin virtual tempat Anda dapat menghapus atau mengembalikannya. foto setelah membuka file.

1
d3t0n4t0r

Anda dapat membuka PDF dalam sebuah wadah. Berikut ini adalah gambar buruh pelabuhan yang dapat Anda gunakan: https://hub.docker.com/r/chrisdaish/acroread/

MY_PDF_DIR='/tmp/foobar'
docker pull chrisdaish/acroread
docker run  -v $MY_PDF_DIR:/home/acroread/Documents:rw \
        -v /tmp/.X11-unix:/tmp/.X11-unix \
        -e uid=$(id -u) \
        -e gid=$(id -g) \
        -e DISPLAY=unix$DISPLAY \
        --name acroread \
        chrisdaish/acroread

Ini akan membuka Acrobat Reader yang akan ditampilkan melalui server X lokal.

Pendekatan ini mengurangi permukaan serangan, tetapi tidak 100% aman karena punya akses ke server X Anda.

1
Valer

Anda dapat menggunakan kombinasi penampil/OS yang kurang populer. Saya kira tidak ada yang menargetkan Okular berjalan pada FreeBSD (meskipun masih bisa rentan), jadi jika Anda membuka file dalam VM Anda harus sangat aman.

Untuk melakukan kerusakan payload jahat harus cocok dengan versi penampil dan OS dan arsitektur CPU tentu saja. Ini benar-benar tingkat rendah dan hal-hal memori (payload mengharapkan untuk ditempatkan di alamat memori tertentu dan mengharapkan beberapa fungsi sistem standar akan tersedia). Jika Anda mengubah salah satu dari itu, maka payload mungkin tidak dieksekusi dengan baik (atau pemirsa dapat mogok tanpa melakukan kerusakan).

0
filo