声明:东泛彩票app 部分内容均来自互联网网友共享或转载其他热门文章,若侵犯您的权益,请及时与我们联系。
您现在的位置:主页 > 加工设备 > 模板 > PDF恶意软件使用新技巧来利用漏洞

PDF恶意软件使用新技巧来利用漏洞

作者:东泛彩票app 发布时间:2019年09月02日 浏览: 2759

据安全研究人员称,恶意PDF文件正在使用一种新技巧来避免市场上几乎所有主要的防病毒扫描程序都被检测到。

Avast和Sophos的研究人员独立注意到PDF文件制作3月份的那些回合没有被标记为恶意,但有能力通过被打开来破坏机器。原始地址经常是可疑的,附件附带电子邮件声称是订单收据。附件本身经常有名字包含所谓的订单号。

当在Adobe8.1.1或Adobe9.3下打开附件时,受感染的计算机将连接到远程站点并下载恶意软件,通常是SpyEye,ZBot或FakeAV,PaulBaccas,SophosLabs的高级威胁研究员于4月15日在该公司的NakedSecurity博客上写道。

“PDF似乎没有使用我能看到的任何漏洞,但他们正在下载恶意软件,“写了Baccas。

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunkvs.LogRhythm:SIEMHead-to-Head

事实证明,这些文件正在使用一个新技巧来重新利用Adobe在2010年2月16日修补的CVE-2010-0188漏洞。该漏洞是专门针对读者的,不会在GoogleChrome的PDF插件中执行,AvastSoftware的高级病毒分析师和研究员JiriSejtko于4月22日在公司博客上写道。这是一个好兆头,Chrome通常会询问用户是否应该在Reader中打开文件,如果它无法正确显示文件。根据Sejtko的说法,在这个时代,许多用户可能会说“是”,这使得它们容易受到攻击。

PDF规范允许在原始数据上使用多个过滤器,可以单独使用,也可以相互结合使用,Sejtko说。任何人都可以创建有效的PDF文件,其中数据使用五个不同的过滤器,甚至是同一过滤器的多个层。这使得恶意软件作者可以将恶意代码嵌入到过滤器内部,即使是最具侵略性的扫描程序也无法访问。

“我们的解析器无法获得任何我们可以定义为恶意的合适内容,”Sejtko说。

利用此漏洞的文件通常使用包含包含高度混淆代码的TIFF图像文件的原始数据的XML文件,Baccas说。在这种情况下,攻击者使用参数来控制过滤器的操作方式,并设计原始数据中嵌入的攻击代码以符合这些参数。

用于加密恶意代码的过滤器也意味着仅用于黑白图像。Avast研究人员检测到的漏洞结合了两个过滤器,一个用于文本,一个用于图像,用于隐藏有效载荷。

“谁会想到纯图像算法可以用作任何对象的标准过滤器流?”Sejtko说。虽然“坏人”正在PDF文件中构建一个特制的TIFF图像文件,但该技巧也可用于隐藏特殊的JavaScript和字体文件。

与其他攻击相比,此攻击是Sejtko说,在“只有极少数”的攻击中看到,但也被用于有针对性的攻击。虽然CVE-2010-0188漏洞已在当前版本的AdobeReader中关闭,但旧软件和未修补版本软件的用户仍然容易受到这些恶意PDF文件的攻击。

0
赞一个
关键词:
推广链接:http://www.pmcrf.com/jiagongshebei/moban/201909/5247.html
分享到: 0

相关资讯:

东泛彩票app 特荐