Ohjelmointi

Avast löytää PDF-hyödyntämisen näkymättömäksi virustentorjuntaohjelmille

Rikolliset ovat alkaneet käyttää hämärää kuvasuodatinta, jotta haitalliset PDF-tiedostot ovat kaikki lukuun ottamatta näkymättömiä monille virustentorjuntaohjelmille, kertoi tšekkiläinen tietoturvayhtiö Avast Software.

Temppu sisältää tavallisen Adobe Reader -hyödykkeen piilottamisen PDF-tiedostossa (Portable Document Format) koodaamalla se JBIG2Decode-suodattimella, jota käytetään yleensä tiedostokokojen minimoimiseksi upotettaessa yksivärisiä TIFF (Tagged Image File Format) -kuvia PDF-tiedostoihin.

[Katso, miten voit estää viruksia, matoja ja muita yritystäsi uhkaavia haittaohjelmia käyttämällä asiantuntija-avustajien käytännön neuvoja "Haittaohjelmien syväsukellus" -oppaassa. ]

Koska sisältö näyttää virustorjuntaohjelmistolta harmittomana kaksiulotteisena TIFF-kuvana, haitallinen hyödyntäminen menee huomaamatta.

"Kuka olisi voinut ajatella, että puhdasta kuva-algoritmia voidaan käyttää vakiosuodattimena haluamassasi objektivirrassa?" sanoi Avast-viruksen analyytikko Jiri Sejtko blogissa. "Ja tämä on syy, miksi skannerimme ei onnistunut purkamaan alkuperäistä sisältöä - emme olleet odottaneet tällaista käyttäytymistä."

Osa ongelmasta oli PDF-määrittelyn tarjoama laajuus käyttää JBIG2Decoden kaltaisia ​​suodattimia epätavallisilla tavoilla ja jopa käyttää useampia kerralla kerroksittain, hän sanoi.

Kohdennettu TIFF-haavoittuvuus on CVE-2010-0188 helmikuusta 2010, mikä vaikuttaa Adobe Reader 9.3: een tai aiempiin Windows-, Mac- ja Unix-versioihin. Tämä ei vaikuta nykyisiin versioihin, Reader X 10.x, vaikka monet käyttäjät käyttävät edelleen vanhempia versioita.

Lisäksi Avast-tutkijat uskovat, että samaa JBIG2Decode-suodatintekniikkaa käytetään piilottamaan muita hyökkäyksiä, mukaan lukien TrueType-fonttien hyödyntäminen syyskuusta 2010, joka vaikuttaa Reader 9.3.4: een, joka toimii kaikilla alustoilla.

"Olemme nähneet, että tätä ikävää temppua käytetään kohdennetussa hyökkäyksessä ja että sitä on toistaiseksi käytetty suhteellisen pienessä määrin yleisiä hyökkäyksiä. Siksi kukaan muu ei todennäköisesti pysty havaitsemaan sitä ”, Sejtko sanoi. Avast oli nyt päivittänyt ohjelmistonsa havaitsemaan JBIG2Decode-hyökkäyksen.

Tällä tavoin peittävät tekniikat pysyvät suhteellisen vaativina virustentorjuntaohjelmien poimimiseksi, koska ne edellyttävät, että ruse poistetaan käyttämällä erillistä algoritmia yksinkertaisen allekirjoituksen sijaan.

Sejtko sanoi, että Avast-tutkijat keskustelevat suodattimien käytöstä piilottaakseen hyödyntämisen tulevassa Caro 2011 -työpajassa Prahassa 5.-5. Toukokuuta.

$config[zx-auto] not found$config[zx-overlay] not found