Malware PDF protetti con crittografia AES-256, consigli protezione

Adobe Systems ha rilasciato un aggiornamento di sicurezza per Adobe Reader e Acrobat 9.x per Windows il 16 dicembre 2011, al fine di fissare un vulnerabilità zero-day. Come Vikram Thakur ha riportato recentemente, ci sono stati attacchi zero-day cha hanno sfruttato la vulnerabilità PDF, attraverso il cavallo di troia Backdoor.Sykipot scaricato sul computer compromesso. Gli esperti di Symantec hanno trovato un'altra variante del malware nel PDF cattivo che utilizza la stessa vulnerabilità. Questa versione di malware in formato PDF utilizza un metodo di crittografia che si trova nativamente nelle specifiche PDF. Come ha scritto Kazumasa Itabashi nel suo PDF Malware Whitepaper, il metodo di crittografia utilizzato dai malware in formato PDF è cambiato da RC4 ad AES.

La chiave di crittografia AES specifica è a 128 bit di lunghezza. Tuttavia, questa variante adotta AES-256 come metodo di crittografia, con una lunghezza della chiave di 256 bit. La specifica per il metodo di crittografia AES-256 utilizzata in un PDF è descritta come una estensione della versione PDF specifica di ISO32000. E' possibile scaricare il file PDF del documento esteso dal sito Web di Adobe. L'algoritmo utilizzato per creare una chiave di cifratura in un documento PDF è stato alterato da quelli di RC4 e AES. Inoltre, sono disponibili nuove parole chiave attraverso l'estensione. L'immagine sottostante mostra l'oggetto che ha memorizzato i parametri per decifrare il documento. "/ AESV3" specifica che il contenuto delle stringhe e le stringhe sono cifrate con l'algoritmo AES-256 nel documento PDF.

Questo malware ha utilizzato la vulnerabilità in Adobe Acrobat e Reader di corruzione della memoria U3D (BID 50922). Questa vulnerabilità riguarda dati tipo U3D e il flusso dati dei documenti in formato PDF, come mostrato nell'immagine seguente.

Questo oggetto U3D è un'altra opzione: "/ Filter / FlateDecode", che specifica che il flusso di dati che vengono compressi utilizzano il formato di dati compresso Deflate. Quindi bisogna decifrare i dati AES-256 criptati, e poi decomprimerli, al fine di indagare i dati U3D. I prodotti Symantec rilevano questi campioni come Bloodhound.Exploit.439. I PDF malware che sfruttano le vecchie vulnerabilità, ma con crittografia AES-256, vengono rilevati. Symantec raccomanda di restare al sicuro mantenendo le definizioni dei virus aggiornate. Gli utenti di Adobe Reader e Acrobat versione 9.x per Windows dovrebbero anche aggiornare alla nuova versione il più presto possibile.

Inoltre, Adobe Reader X in modalità protetta e Adobe Acrobat X visualizzazione protetta impediscono un exploit del tipo che ha attualmente come target l'esecuzione di questa vulnerabilità.  Adobe consiglia agli utenti di Adobe Reader 9.4.6 e versioni precedenti 9.x per Windows l'aggiornamento ad Adobe Reader 9.4.7. Adobe consiglia agli utenti di Adobe Acrobat 9.4.6 e versioni precedenti 9.x per Windows l'aggiornamento ad Adobe Acrobat 9.4.7. E' possibile utilizzare il meccanismo di aggiornamento del prodotto. Gli utenti possono anche trovare l'aggiornamento appropriato qui. Il Symantec Security Response incoraggia tutti gli utenti di osservare le seguenti norme fondamentali di sicurezza (buone pratiche):

1. Utilizzare un firewall per bloccare tutte le connessioni in ingresso da Internet ai servizi che non dovrebbero essere disponibili al pubblico. Per impostazione predefinita, si dovrebbe negare tutte le connessioni in entrata e permetterle solo servizi che esplicitamente si vogliono offrire al mondo esterno.
2. Applicare una politica di password. Le password complesse rendono più difficoltoso l'accesso a file protetti su computer compromessi. Questo aiuta a prevenire o limitare i danni quando un computer è compromesso.
3. Assicurarsi che i programmi e gli utenti del computer utilizzano il più basso livello di privilegi necessari per completare un compito. Quando viene richiesta una password di root o UAC, assicurarsi che il programma che chiede l'amministrazione a livello di accesso sia un'applicazione legittima.
4. Disabilitare l'AutoPlay per evitare il lancio automatico dei file eseguibili in rete e le unità rimovibili, e scollegare le unità quando non è necessario. Se l'accesso in scrittura non è necessario, attivare la modalità di sola lettura se l'opzione è disponibile.
5. Disattivare la condivisione di file, se non necessaria. Se la condivisione file è necessaria, utilizzare le ACL e la protezione tramite password per limitare l'accesso. Disabilitare l'accesso anonimo alle cartelle condivise. Concedere l'accesso solo agli account utente con password di cartelle che devono essere condivise.
6. Spegnere e rimuovere i servizi non necessari. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono critici. Questi servizi sono viali dell'attacco. Se vengono rimossi, le minacce hanno meno viali dell'attacco.
7. Se una minaccia sfrutta uno o più servizi di rete, disattivare o bloccare l'accesso a tali servizi, fino a quando viene applicata una patch.
8. Tenere sempre i livelli di patch up-to-date, in particolare sui computer che ospitano servizi pubblici e sono accessibili attraverso il firewall, come HTTP, FTP, posta elettronica e servizi DNS.
9. Configurare il server di posta elettronica per bloccare o rimuovere e-mail che contengono i file allegati che vengono comunemente utilizzati per diffondere minacce come .Vbs, .Bat, .Exe, .Pif e .Scr.
10. Non aprire gli allegati sconosciuti a meno che non si stiano aspettando e non eseguire software scaricati da Internet se non sono stati sottoposti a scansione antivirus. Inoltre, non accettare le applicazioni che non sono firmate o inviate da fonti sconosciute.