Nuova tecnica exploit PDF sfugge al rilevamento dei motori antivirus


Un nuovo metodo per produrre file PDF "maligno" è stato scoperto dai ricercatori del vendor di sicurezza  AVAST. Il nuovo metodo è più di una specifica vulnerabilità patchable, è un trucco che permette ai creatori di file PDF "maligno" di farlo scivolare innosservato da quasi tutti gli scanner Antivirus. Nel complesso, le specifiche PDF permettono molti diversi filtri (come ASCII85Decode, RunLengthDecode, ASCIIHexDecode, FlateDecode, ...) per essere utilizzati su dati grezzi. Inoltre, non vi è limite al numero dei filtri utilizzati per l'immissione di dati unici. Chiunque può creare un valido file PDF in cui i dati verranno usati, per esempio, cinque diversi filtri o cinque strati del filtro stesso. Tutte queste caratteristiche sono basati sulle specifiche estremamente libere, un fatto che permette di essere utilizzati dai cattivi file "maligni" in un modo che non consente l'accesso agli scanner antivirus per il reale payload. Il nuovo trucco si basa solo su un filtro per crittografare i dati di testo ed è pensato per essere usato solo per le immagini in bianco e nero. E a parte Avast! antivirus, probabilmente nessun altro scanner AV è attualmente in grado di decodificare il carico utile, perché nessun altro AV è in grado di rilevare il file PDF. AVAST ha avuto il primo incontro con questa tecnica in un file PDF un mese fa e da allora ha visto un utilizzo limitato, ma anche attacchi mirati. "Il suo indirizzo URL originario era piuttosto sospettoso e ben presto abbiamo confermato lo sfruttamento dell'infezione del sistema causata solo dall'apertura di questo documento. Ma il nostro parser non era in grado di ottenere qualsiasi contenuto idoneo che potremmo definire come "maligno". Non c'era alcun flusso di javascript, solo la singola matrice XFA [...]", scrive sul blog della società Jiri Sejtko, senior analist di Avast.

Font TTF nascosta sotto il flusso JBIG2

La matrice XFA di solito contiene una immagine TIFF maligna che sfrutta la nota vulnerabilità CVE-2010-0188, scoperta nel 2010. Uno degli unici due oggetti a cui fa riferimento una matrice XFA è stato decodificato, analizzato e rapidamente eliminate. I ricercatori hanno poi osservato che il restante ha richiesto due filtri, FlateDecode e JBIG2Decode. FlateDecode è comune, ma JBIG2Decode viene normalmente utilizzato per decodificare i dati delle immagini in bianco e nero, e questo perchè gli hacker hanno scelto di memorizzare il codice JavaScript. Come si è visto, JBIG2Decode può essere utilizzato su qualsiasi oggetto Stream, un comportamento insolito secondo gli sviluppatori AVAST, e probabilmente di altri fornitori, come pure, il fatto di non riuscire ad ottenere la codifica parser PDF. I criminali hanno costruito un file TIFF appositamente predisposto che ha sfrutta la vecchia falla in Adobe Reader. La vulnerabilità è stata patchata nelle versioni attuali, solo le vecchie versioni sono interessate. AVAST ha rilasciato la rilevazione PDF:Contex [Susp] subito dopo questa scoperta. AVAST ha tenuto sotto controllo questo nuovo trucco ormai da oltre un mese e ora ha aggiunto questo algoritmo di decodifica al suo motore PDF. Sulla base delle informazioni da Avast! Virus Lab logs, questo nuovo trucco è attualmente utilizzato solo in un numero molto limitato di attacchi (in confronto ad altri attacchi) ed è probabilmente la ragione per la quale nessun altro AV è in grado di rilevarlo. Tuttavia, Avast ha visto che questo sistema può anche essere utilizzato in un attacco mirato. Ecco i link di VirusTotal che mostrano il punteggio di rilevazione:
Inoltre, Avast ha trovato altri 10 file PDF "maligni" in base al trucco JBIG2Decode. Tutti questi sono stati effettivamente rilevati utilizzando il loro rilevamento euristico JS: Pdfka-gen, anche se in realtà non decodifica il flusso JBIG2. In questi casi, diversi oggetti (gli oggetti senza filtro JBIG2Decode) sono stati contrassegnati come parti dannose. In sintesi, possiamo dire che i criminali stanno usando questo trucco per nascondere ogni possibile oggetto che vogliono nascondere (forme XFA, JS, TTF). Poiché il parser PDF è stato aggiornato per decodificare gli oggetti JBIG2-encoded, il venditore AV ha individuato la tecnica in altri file PDF.

Nessun commento:

Posta un commento