Abo
  • Services:

PDF-Sicherheitslücken

E-Book erklärt das Erkennen von Schad-PDFs

Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.

Artikel veröffentlicht am ,

Auf gut 23 Seiten in englischer Sprache fasst Didier Stevens die wichtigsten Hinweise zusammen, die auf eine schädliche Datei im PDF-Format hinweisen. Er schaut sich dabei typische Methoden an, die Angreifer nutzen, um Schadcode in PDF-Dateien zu verstecken. PDF-Dateien sind mittlerweile ein wichtiges Werkzeug für Angreifer geworden, denn der Adobe Reader genießt eine hohe Verbreitung unter Nutzern, egal ob sie unter Windows, Mac OS X oder Linux arbeiten.

Stellenmarkt
  1. Bertrandt Ingenieurbüro GmbH, München
  2. DESIGNA Verkehrsleittechnik GmbH, Kiel

Verschiedene Werkzeuge helfen beim Analysieren von potenziell schädlichen PDF-Dateien. Das einfachste ist ein Hex-Editor. Das bedeutet allerdings viel Handarbeit und so führt Stevens den Leser an das Skript PDFiD heran, das den Scanprozess erleichtert. Das Python-Skript erkennt zum Beispiel, ob der PDF-Autor Flash oder Javascript in die Datei eingebunden hat. PDFiD kann PDF-Dateien auch entschärfen.

Stevens erklärt grob, wie das PDF-Format aufgebaut ist, damit gute Teile des Dokumentenbeschreibungsformats von schlechten Teilen unterschieden werden können. Zudem gibt er Tipps, wie eine Testumgebung für eine PDF-Datei aufgebaut werden sollte, schließlich soll die Datei nicht versehentlich ausgeführt werden. Besonders problematisch: Mit dem Adobe Reader werden in das System Komponenten installiert, die es möglicherweise erlauben, PDF-Dateien und den integrierten Schadcode auszuführen, ohne dass der Nutzer klicken muss. Einige dieser Dienste arbeiten mit Systemrechten.

Laut dem Internet Storm Center behandelt das E-Book nicht alle Angriffsmöglichkeiten. Vor allem das Tarnen des Schadcodes in dem Dokument wird nicht vollständig betrachtet. Stevens erklärt dennoch in verständlichen Beispielen viele Wege, wie ein PDF-Autor versucht, eine PDF-Datei möglichst harmlos wirken zu lassen. Schaut ein Nutzer zur Analyse in eine PDF-Datei in einem Editor und sieht solche Tarnmechanismen, wird die Datei erst recht verdächtig. Jeder, der an der Analyse von Schad-PDFs interessiert ist, findet in dem Dokument einen guten Anfang, um genau solche Hinweise zu entdecken.

Das E-Book befindet sich als gepackte PDF-Datei in Stevens Blog.



Anzeige
Spiele-Angebote
  1. (-50%) 29,99€
  2. (-68%) 8,99€
  3. 14,99€
  4. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€

HexMeister 27. Sep 2010

Ich kann euch die Primäfarbe eines Autos sagen wenn ihr mir ein Farbbild zeigt. Wer...

Indiana 27. Sep 2010

Also ich hab auch erst mal überlegt ob der Artikel ein Scherz ist und das e-Book direkt...

benji83 27. Sep 2010

aber jeder Privatmensch/jede kleine Firma der/die das hört bekommt das Gruseln. Hey...

Lalaaaa 27. Sep 2010

Im täglichen IT-Leben kommt man aber nicht um PDFs herum.

lhcpxohxlgxpc 27. Sep 2010

Es ging ja um optionale signaturen bzw einen signature-builder um zB flash, moorhuhn u...


Folgen Sie uns
       


Akustische Kamera Soundcam - Bericht

Lärm ist etwas für die Ohren? Nicht nur: Eine akustische Kamera macht Geräuschquellen sichtbar. Damit lassen sich beispielsweise fehlerhafte Teile in einer Maschine erkennen oder der laute Lüfter im Computer aufspüren. Wir haben es ausprobiert.

Akustische Kamera Soundcam - Bericht Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Black-Hoodie-Training: Einmal nicht Alien sein, das ist toll!
Black-Hoodie-Training
"Einmal nicht Alien sein, das ist toll!"

Um mehr Kolleginnen im IT-Security-Umfeld zu bekommen, hat die Hackerin Marion Marschalek ein Reverse-Engineering-Training nur für Frauen konzipiert. Die Veranstaltung platzt inzwischen aus allen Nähten.
Von Hauke Gierow

  1. Ryzenfall CTS Labs rechtfertigt sich für seine Disclosure-Strategie
  2. Starcraft Remastered Warum Blizzard einen Buffer Overflow emuliert

    •  /