Перейти к содержимому

Как вшить вирус в pdf

  • автор:

Анализ подозрительных PDF-документов

До­кумент PDF — это набор объ­ектов, который опи­сыва­ет спо­соб отоб­ражения стра­ниц внут­ри фай­ла. В сегодняшней статье я покажу, как проверить PDF на вирусы. Мы рассмотрим все шаги анализа подозрительных PDF-документов.

Что­бы побудить поль­зовате­ля ска­чать или открыть документ PDF, такой файл чаще все­го рас­сыла­ют в элек­трон­ных пись­мах. В момент откры­тия документ PDF обыч­но запус­кает JavaScript в фоновом режиме. Этот скрипт может вос­поль­зовать­ся уяз­вимостью в при­ложе­нии Adobe PDF Reader или незамет­но сох­ранить встро­енный исполня­емый файл.

Анализ вредоносных PDF-документов

Файл PDF сос­тоит из четырех ком­понен­тов. Это заголо­вок, основная часть (тело), ссыл­ки и трей­лер (кон­цевая мет­ка).

  1. За­голо­вок содер­жит информа­цию о вер­сии докумен­та и дру­гую слу­жеб­ную информа­цию.
  2. Те­ло PDF содер­жит раз­личные объ­екты (объ­екты сос­тоят из потоков, которые исполь­зуют­ся для хра­нения дан­ных).
  3. Таб­лица перек­рес­тных ссы­лок ука­зыва­ет на каж­дый объ­ект.
  4. Трей­лер ука­зыва­ет на таб­лицу перек­рес­тных ссы­лок.

Рас­смот­рим в качес­тве при­мера файл Report.pdf.

  • Didier Stevens Suite;
  • Peepdf;
  • Process Monitor;
  • Microsoft Network Monitor.

Сканирование документа PDF с помощью PDFiD

PDFiD — ком­понент прог­рам­мно­го пакета Didier Stevens Suite. Он ска­ниру­ет документ PDF, исполь­зуя спи­сок строк для обна­руже­ния эле­мен­тов JavaScript, встро­енных фай­лов, дей­ствий при откры­тии докумен­тов и под­сче­та чис­ла кон­крет­ных строк внут­ри PDF.

Сканирование документа PDF с помощью PDFiD

Как вид­но из резуль­татов ска­ниро­вания, PDFiD выявил в фай­ле Report.pdf нес­коль­ко объ­ектов, потоков, эле­мен­тов JS, JavaScript и OpenAction. Наличие таких эле­мен­тов озна­чает, что документ PDF содер­жит скрип­ты JavaScript или Flash.

Эле­мент /Embedded file ука­зыва­ет на при­сутс­твие внут­ри PDF фай­лов дру­гих фор­матов. Эле­мен­ты /OpenAction, AA, /Acroform под­ска­зыва­ют нам, что при откры­тии или прос­мотре докумен­та PDF выпол­няет­ся какое‑то авто­мати­чес­кое дей­ствие.

По­токи — это дан­ные внут­ри объ­екта.

Просмотр содержимого объектов PDF

Итак, мы выяс­нили, что внут­ри фай­ла PDF содер­жится JavaScript. Это будет отправ­ной точ­кой ана­лиза. Для поис­ка кос­венно­го объ­екта JavaScript запус­тим инс­тру­мент pdf-parser.py.

Просмотр содержимого объектов PDF

Сог­ласно резуль­тату ска­ниро­вания, JavaScript запус­кает файл virus при каж­дом откры­тии PDF, поэто­му наш сле­дующий шаг — извле­чение это­го фай­ла.

Извлечение встроенного файла с помощью peepdf

Peepdf — инс­тру­мент на язы­ке Python, содер­жит все необ­ходимые ком­понен­ты для проверки и ана­лиза PDF. Что­бы вос­поль­зовать­ся его воз­можнос­тями, введите коман­ду peepdf — i file_name . pdf . Ключ — i вклю­чает инте­рак­тивный режим работы скрип­та.

Извлечение встроенного файла с помощью peepdf

Что­бы узнать боль­ше, см. справ­ку (опция help).

Анализ PDF на вирусы

Анализ PDF файла

Ре­зуль­тат ана­лиза с помощью peepdf ука­зыва­ет на то, что в объ­екте 14 име­ется встро­енный файл. При более близ­ком рас­смот­рении это­го объ­екта мы уви­дим, что он ука­зыва­ет на объ­ект 15; в свою оче­редь, объ­ект 15 ука­зыва­ет на объ­ект 16. Наконец, мы обна­ружи­ваем приз­наки наличия фай­ла virus внут­ри объ­екта 17.

Судя по содер­жимому PDF, в нем есть толь­ко один поток, который так­же ука­зыва­ет на объ­ект 17. Таким обра­зом, объ­ект 17 пред­став­ляет собой поток со встро­енным фай­лом.

Определить вирус PDF

Внут­ри потока 17 содер­жится сиг­натура фай­ла, которая начина­ется с MZ, и шес­тнад­цатерич­ное (hex) зна­чение, начина­ющееся с 4d 5a. Это приз­наки, ука­зыва­ющие на исполня­емый файл PE.

Извлечение встроенного файла с помощью peepdf

Да­лее мы сох­раним поток как исполня­емый файл virus.exe.

Анализ поведения

Те­перь запус­тим этот файл в вир­туал­ке под Windows 7 32-bit.

Process Explorer отоб­ража­ет про­цес­сы, соз­данные фай­лом virus.exe

Как вид­но в окне Process Explorer, virus.exe соз­дал два подоз­ритель­ных про­цес­са (zedeogm.exe, cmd.exe), которые были оста­нов­лены пос­ле запус­ка.

Ком­понент Process Monitor зарегис­три­ровал изме­нения в сис­теме, вне­сен­ные virus.exe

Сог­ласно дан­ным Process Monitor, в рам­ках запущен­ных про­цес­сов был сох­ранен файл zedeogm.exe. Затем он изме­нил пра­вило бран­дма­уэра Windows. На сле­дующем эта­пе был запущен файл WinMail.exe. Пос­ле это­го прог­рамма запус­тила cmd.exe для выпол­нения фай­ла tmpd849fc4d.bat и оста­нови­ла про­цесс.

Та­ким обра­зом, мы соб­рали дос­таточ­но доказа­тель­ств того, что этот файл PDF вре­донос­ный. Далее мож­но при­нять допол­нитель­ные про­филак­тичес­кие меры — нап­ример, выпол­нить дво­ичную отладку и иссле­дова­ние памяти извле­чен­ных IOC в целях поис­ка дру­гих угроз.

Заключение

В этой статье мы рас­смот­рели простые способы анализа подозрительных PDF-файлов. Вредоносные PDF-документы, как правило, распространяются с помощью фишинг-атак. Чтобы не стать жертвой фишинг-атаки следуйте следующим правилам:

  • Ни­ког­да не доверяйте отпра­вите­лю элек­трон­ного пись­ма. Всег­да про­веряйте основные иден­тифика­цион­ные дан­ные, преж­де чем отве­тить на пись­мо.
  • Не перехо­дите по ссыл­кам и не откры­вайте вло­жения, если отпра­витель пись­ма не тот, кем он пред­ста­вил­ся.
  • Хакеры час­то исполь­зуют про­изволь­ные име­на доменов. По этой при­чине тща­тель­но про­веряйте адрес сай­та на наличие «опе­чаток» — это может быть ресурс, зарегис­три­рован­ный спе­циаль­но, что­бы ввес­ти вас в заб­лужде­ние.

Пе­реп­роверяйте про­исхожде­ние сай­та, преж­де чем ввес­ти свои пер­сональ­ные дан­ные — имя, адрес, рек­визиты дос­тупа, финан­совые све­дения и про­чие.
Ес­ли вы поняли, что ввели рек­визиты дос­тупа на подоз­ритель­ном сай­те, немед­ленно сме­ните пароль.

Компьютеры начали взламывать с помощью PDF-файлов

Злоумышленники рассылают письма с вложением в виде текстового файла, при открытии которого компьютер атакуют вирусы.

Компьютеры начали взламывать с помощью PDF-файлов

В сети участились случаи использования текстовых документов для взлома компьютеров. Как правило, жертва получает электронное письмо с сообщением, что ей положена выплата — к письму прикреплен pdf-документ. После его открытия на компьютере может быть запущен вирус.

Читайте также:

Тренды цифровизации-2023: «Каждый из нас хочет персонального подхода»

При попытке открыть pdf-файл программа Adobe Reader предлагает пользователю воспользоваться текстовым редактором Word, чтобы запустить содержащийся внутри файл docx. При этом хакеры научились обманывать систему защиты — при открытии появляется информация, что документ был проверен и не является опасным.

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников рассказал об опасности PDF-файлов.

«PDF-файлы всегда были и будут одним из способов атаки на пользователей. В этот раз злоумышленники при помощи скрипта, встроенного в docx-файл, который замаскирован под PDF-файл заставляют пользователя скачать вредонос, который позволяет реализовать удаленное выполнение кода на ПК пользователя.

В данном случае, можно видеть достаточно хитрый механизм выполнение удаленного кода на машине пользователя. Учитывая то, что данная уязвимость уже найдена и опубликована в открытом доступе, в ближайшее время ее должны «закрыть» обновлениями безопасности», — предупредил эксперт.

Как вшить вирус в pdf

Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нем неправильно.
Необходимо обновить браузер или попробовать использовать другой.

Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе «Анализ защищенности веб-приложений» �� Записаться бесплатно!

CTF с учебными материалами Codeby Games Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

  • Форум
  • Работа и Фриланс в IT
  • Поиск Фрилансеров и Заказчиков

Вшиваем iplogger в Word

Сегодня поговорим о том, как заражают Microsoft Word и почему не стоит открывать непроверенные документы, pdf и т.д.

Вирусы, отслеживание, рефки — это именно те вещи, которые хорошо интегрируются в Word. Обычно люди не проверяют документы на уязвимости, а антивирусы не бьют тревогу, поэтому злоумышленники этим активно пользуются. Мы в свою очередь не будем вшивать конкретный вирус, а просто рассмотрим этот способ на примере IPloggera’a

1. Создаем новый документ Word > Переходим во вкладку «вставка» > пункт «интеграция видео из интернета».
2. Выбираем YouTube > пишем нужное название канала и выбираем ролик. Все. Наш ролик в файле (вы можете выбрать любой другой сайт, необязательно ютуб)
3. Сохраняем и закрываем документ > запускаем WinRAR > находим наш документ.
4. Кликаем по документу и у нас открывается его внутреннее содержимое > открываем папку word > видим файл document.xml
5. Перетаскиваем на рабочий стол и открываем его через блокнот > находим в нем ссылку на наше видео и заменяем на ссылку IPlogger’a
(https://iplogger.ru/)6. Сохраняем и возвращаем в WinRar.

Все. Теперь если открыть наш документ ворд, то там так и останется ролик. Даже если навести курсором будет отобраться ссылка на видео, а не на IPlogger. После того, как человек попробует посмотреть видео нам моментально придут его координаты и IP адрес.

Такие манипуляции в Word можно проворачивать абсолютно с чем угодно, поэтому вывод тут один — проверяйте все и всегда ✌️

Похожие публикации:
  1. Java 8 update 301 что это
  2. За сколько можно научиться верстать сайты с нуля
  3. Как получить данные post запроса в php
  4. Как получить сообщение пользователя telebot

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *