PDF-Sicherheitslücken

E-Book erklärt das Erkennen von Schad-PDFs

Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.

Artikel veröffentlicht am ,

Auf gut 23 Seiten in englischer Sprache fasst Didier Stevens die wichtigsten Hinweise zusammen, die auf eine schädliche Datei im PDF-Format hinweisen. Er schaut sich dabei typische Methoden an, die Angreifer nutzen, um Schadcode in PDF-Dateien zu verstecken. PDF-Dateien sind mittlerweile ein wichtiges Werkzeug für Angreifer geworden, denn der Adobe Reader genießt eine hohe Verbreitung unter Nutzern, egal ob sie unter Windows, Mac OS X oder Linux arbeiten.

Stellenmarkt
  1. Solution Architect w/m/d
    AVL List GmbH, Graz
  2. Fullstack Software Engineer (m/w/d)
    Fiducia & GAD IT AG, München
Detailsuche

Verschiedene Werkzeuge helfen beim Analysieren von potenziell schädlichen PDF-Dateien. Das einfachste ist ein Hex-Editor. Das bedeutet allerdings viel Handarbeit und so führt Stevens den Leser an das Skript PDFiD heran, das den Scanprozess erleichtert. Das Python-Skript erkennt zum Beispiel, ob der PDF-Autor Flash oder Javascript in die Datei eingebunden hat. PDFiD kann PDF-Dateien auch entschärfen.

Stevens erklärt grob, wie das PDF-Format aufgebaut ist, damit gute Teile des Dokumentenbeschreibungsformats von schlechten Teilen unterschieden werden können. Zudem gibt er Tipps, wie eine Testumgebung für eine PDF-Datei aufgebaut werden sollte, schließlich soll die Datei nicht versehentlich ausgeführt werden. Besonders problematisch: Mit dem Adobe Reader werden in das System Komponenten installiert, die es möglicherweise erlauben, PDF-Dateien und den integrierten Schadcode auszuführen, ohne dass der Nutzer klicken muss. Einige dieser Dienste arbeiten mit Systemrechten.

Laut dem Internet Storm Center behandelt das E-Book nicht alle Angriffsmöglichkeiten. Vor allem das Tarnen des Schadcodes in dem Dokument wird nicht vollständig betrachtet. Stevens erklärt dennoch in verständlichen Beispielen viele Wege, wie ein PDF-Autor versucht, eine PDF-Datei möglichst harmlos wirken zu lassen. Schaut ein Nutzer zur Analyse in eine PDF-Datei in einem Editor und sieht solche Tarnmechanismen, wird die Datei erst recht verdächtig. Jeder, der an der Analyse von Schad-PDFs interessiert ist, findet in dem Dokument einen guten Anfang, um genau solche Hinweise zu entdecken.

Das E-Book befindet sich als gepackte PDF-Datei in Stevens Blog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Form Energy
Eisen-Luft-Akku soll Energiespeicherprobleme lösen

Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
Eine Analyse von Frank Wunderlich-Pfeiffer

Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
Artikel
  1. iOS 14.7.1 und macOS Big Sur 11.5.1: Apple patcht aktiv ausgenutzte Mac- und iOS-Sicherheitslücke
    iOS 14.7.1 und macOS Big Sur 11.5.1
    Apple patcht aktiv ausgenutzte Mac- und iOS-Sicherheitslücke

    Apple-Nutzer müssen ihre Geräte mit iOS 14.7.1, iPadOS 14,7.1 und MacOS Big Sur 11.5.1 aktualisieren. Es gibt eine aktiv genutzte Sicherheitslücke.

  2. E-Motorräder: Yamaha will Verbrenner auch in 30 Jahren nicht aufgeben
    E-Motorräder
    Yamaha will Verbrenner auch in 30 Jahren nicht aufgeben

    Yamaha will den Verbrennungsmotor für seine Motorräder nicht ganz aufgeben. Selbst in 30 Jahren soll es noch Maschinen mit Auspuff geben.

  3. Halbleiterfertigung: Aus 10 nm wird Intel 7
    Halbleiterfertigung
    Aus 10 nm wird "Intel 7"

    Intel orientiert sich vorerst an TSMC, will aber dank RibbonFets und PowerVias ab 2025 führend bei der Halbleiterfertigung sein.
    Ein Bericht von Marc Sauter

HexMeister 27. Sep 2010

Ich kann euch die Primäfarbe eines Autos sagen wenn ihr mir ein Farbbild zeigt. Wer...

Indiana 27. Sep 2010

Also ich hab auch erst mal überlegt ob der Artikel ein Scherz ist und das e-Book direkt...

benji83 27. Sep 2010

aber jeder Privatmensch/jede kleine Firma der/die das hört bekommt das Gruseln. Hey...

Lalaaaa 27. Sep 2010

Im täglichen IT-Leben kommt man aber nicht um PDFs herum.

lhcpxohxlgxpc 27. Sep 2010

Es ging ja um optionale signaturen bzw einen signature-builder um zB flash, moorhuhn u...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 mit Vertrag bei MediaMarkt bestellbar • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 bei MM • New World vorbestellbar ab 39,99€ [Werbung]
    •  /