Abo
  • IT-Karriere:

PDF-Sicherheitslücken

E-Book erklärt das Erkennen von Schad-PDFs

Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.

Artikel veröffentlicht am ,

Auf gut 23 Seiten in englischer Sprache fasst Didier Stevens die wichtigsten Hinweise zusammen, die auf eine schädliche Datei im PDF-Format hinweisen. Er schaut sich dabei typische Methoden an, die Angreifer nutzen, um Schadcode in PDF-Dateien zu verstecken. PDF-Dateien sind mittlerweile ein wichtiges Werkzeug für Angreifer geworden, denn der Adobe Reader genießt eine hohe Verbreitung unter Nutzern, egal ob sie unter Windows, Mac OS X oder Linux arbeiten.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Vodafone GmbH, Düsseldorf

Verschiedene Werkzeuge helfen beim Analysieren von potenziell schädlichen PDF-Dateien. Das einfachste ist ein Hex-Editor. Das bedeutet allerdings viel Handarbeit und so führt Stevens den Leser an das Skript PDFiD heran, das den Scanprozess erleichtert. Das Python-Skript erkennt zum Beispiel, ob der PDF-Autor Flash oder Javascript in die Datei eingebunden hat. PDFiD kann PDF-Dateien auch entschärfen.

Stevens erklärt grob, wie das PDF-Format aufgebaut ist, damit gute Teile des Dokumentenbeschreibungsformats von schlechten Teilen unterschieden werden können. Zudem gibt er Tipps, wie eine Testumgebung für eine PDF-Datei aufgebaut werden sollte, schließlich soll die Datei nicht versehentlich ausgeführt werden. Besonders problematisch: Mit dem Adobe Reader werden in das System Komponenten installiert, die es möglicherweise erlauben, PDF-Dateien und den integrierten Schadcode auszuführen, ohne dass der Nutzer klicken muss. Einige dieser Dienste arbeiten mit Systemrechten.

Laut dem Internet Storm Center behandelt das E-Book nicht alle Angriffsmöglichkeiten. Vor allem das Tarnen des Schadcodes in dem Dokument wird nicht vollständig betrachtet. Stevens erklärt dennoch in verständlichen Beispielen viele Wege, wie ein PDF-Autor versucht, eine PDF-Datei möglichst harmlos wirken zu lassen. Schaut ein Nutzer zur Analyse in eine PDF-Datei in einem Editor und sieht solche Tarnmechanismen, wird die Datei erst recht verdächtig. Jeder, der an der Analyse von Schad-PDFs interessiert ist, findet in dem Dokument einen guten Anfang, um genau solche Hinweise zu entdecken.

Das E-Book befindet sich als gepackte PDF-Datei in Stevens Blog.



Anzeige
Top-Angebote
  1. mit Rabatt auf Monitore, SSDs, Gehäuse und mehr
  2. (u. a. The Legend of Zelda, Super Smash Bros. Ultimate)
  3. 9,90€ (Release am 22. Juli)
  4. 9,99€ (Release am 24. Juni)

HexMeister 27. Sep 2010

Ich kann euch die Primäfarbe eines Autos sagen wenn ihr mir ein Farbbild zeigt. Wer...

Indiana 27. Sep 2010

Also ich hab auch erst mal überlegt ob der Artikel ein Scherz ist und das e-Book direkt...

benji83 27. Sep 2010

aber jeder Privatmensch/jede kleine Firma der/die das hört bekommt das Gruseln. Hey...

Lalaaaa 27. Sep 2010

Im täglichen IT-Leben kommt man aber nicht um PDFs herum.

lhcpxohxlgxpc 27. Sep 2010

Es ging ja um optionale signaturen bzw einen signature-builder um zB flash, moorhuhn u...


Folgen Sie uns
       


Speedport Pro - Test

Der Speedport Pro ist gerade im WLAN verglichen mit dem älteren Speedport Hybrid eine Verbesserung. Allerdings zeigt sich in unserem Test auch, dass die maximale Datenrate nicht steigt. Eher das Gegenteil ist der Fall.

Speedport Pro - Test Video aufrufen
Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

    •  /