Для обхода антивирусной проверки PDF файлов их достаточно кодировать в XDP формат

image

Теги: PDF, уязвимость, эксплоит, XDP

Использование XDP формата позволяет злоумышленникам осуществлять фишинговые атаки и обходить антивирусную защиту.

Исследователь безопасности Брендон Диксон обнаружил, что для обхода антивирусной проверки PDF файлов их достаточно преобразовать в XDP формат. Об этом он узнал случайно, когда ему прислали подозрительный файл, открытие которого спровоцировало эксплуатацию уязвимости.

«Полученный мной файл очень интересен, но он определяется одним единственным антивирусом. Я посчитал, что если воспользоваться библиотекой heavy pint, можно сделать документ в принципе не определяемым. Применив модуль drop news я смог быстро сгенерировать зашифрованный PDF файл со встроенным старым эксплоитом 2009-4324 media.newplayer с нулевым шеллкодом. Проверка файла на Virus Total выдала нулевой результат», - говорится в публикации исследователя.

Формат XDP по своей сути является вариантом PDF, который позволяет передавать данные в XML файлах. Этот формат открывается популярными приложениями, например, Adobe Reader, как обычный PDF, и позволяет web-службам и другим программам отображать XML в структурированном виде. Ввиду своих спецификаций XML не может обрабатывать бинарные данные, поэтому PDF необходимо кодировать как поток base64.

Исследователь отмечает, что известно о данной проблеме стало еще год назад, однако тогда никто не придал ей особого значения. Для того чтобы избежать распространения вредоносного ПО через ложные PDF документы необходимо отказаться от работы с XDP файлами, полученными от недоверенных источников.

С публикацией Брендона Диксона можно ознакомиться здесь.


или введите имя

CAPTCHA