PDF als bevorzugte Waffe von Cyberkriminellen – DC_Studio/Envato
Cyberkriminelle versuchen, kreative neue Wege der Irreführung und Verschleierung zu finden. Sicherheitsexperten arbeiten gleichzeitig unermüdlich daran, neue Möglichkeiten zum Schutz vor diesen Bedrohungen zu identifizieren, zu erforschen und zu entwickeln. Und es zeichnet sich ein eindeutiger Trend ab: Die PDF als bevorzugte Waffe von Cyberkriminellen.
Schädliche PDFs sind eine Möglichkeit, wie eine Datei, die viele als harmlos ansehen, in etwas verwandelt wird, das für schändliche Zwecke missbraucht werden kann.
Das Portable Document Format, besser bekannt als PDF, wurde 1993 von Adobe entwickelt, um es jedem zu ermöglichen, ein komplexes Dokument ohne ein spezielles Programm und unabhängig von einer bestimmten Plattform anzuzeigen. PDF-Dateien können in jedem Betriebssystem und mit jedem Webbrowser geöffnet werden – oder über einen PDF-Reader.
Basierend auf der PostScript- Sprache kann eine PDF eine Vielzahl von Informationen enthalten, einschließlich Text, Hyperlinks, Multimedia, Bilder, Anhänge, Metadaten und andere Daten, was das Ganze zu einem sehr detaillierten Format macht. Die PDF-Referenzdokumentation, die das Potenzial dieses sehr leistungsfähigen und vielseitigen Dateiformats beschreibt, umfasst mehr als 800 Seiten.
Heute möchten wir uns die PDF genauer ansehen und verschiedene Möglichkeiten auflisten, die von Cyberkriminellen dazu verwendet werden, um Netzwerke zu infiltrieren. Wir zeigen auch, wie Deep Instinct kompromittierte PDFs erkennt und sofort verhindert, dass sie geöffnet werden.
Schädliche PDFs sind eine Möglichkeit, wie eine Datei, die viele als harmlos ansehen, in etwas verwandelt wird, das für schändliche Zwecke missbraucht werden kann.
Das Portable Document Format, besser bekannt als PDF, wurde 1993 von Adobe entwickelt, um es jedem zu ermöglichen, ein komplexes Dokument ohne ein spezielles Programm und unabhängig von einer bestimmten Plattform anzuzeigen. PDF-Dateien können in jedem Betriebssystem und mit jedem Webbrowser geöffnet werden – oder über einen PDF-Reader.
Basierend auf der PostScript- Sprache kann eine PDF eine Vielzahl von Informationen enthalten, einschließlich Text, Hyperlinks, Multimedia, Bilder, Anhänge, Metadaten und andere Daten, was das Ganze zu einem sehr detaillierten Format macht. Die PDF-Referenzdokumentation, die das Potenzial dieses sehr leistungsfähigen und vielseitigen Dateiformats beschreibt, umfasst mehr als 800 Seiten.
Heute möchten wir uns die PDF genauer ansehen und verschiedene Möglichkeiten auflisten, die von Cyberkriminellen dazu verwendet werden, um Netzwerke zu infiltrieren. Wir zeigen auch, wie Deep Instinct kompromittierte PDFs erkennt und sofort verhindert, dass sie geöffnet werden.
PDF-Struktur
PDF besteht aus 4 Hauptabschnitten: Header, Body, Xref-Tabelle und Trailer.Header
Ein einfacher Abschnitt, der das PDF-Dateiformat und die Versionsnummer angibt, in unserem Fall 1.7 (das „%“-Zeichen in PDF gibt einen Kommentar an).Body
Der PDF-Body enthält alle Objekte, die das Layout eines Dokuments darstellen, einschließlich Bilder, Schriftarten, Seiten, Skriptcode und mehr.Querverweistabelle (Xref)
Wie der Name schon sagt, handelt es sich um eine Querverweistabelle – eine Datenstruktur, die Verweise (Offsets) auf Objekte (Bilder usw.) in der Datei enthält, sodass der PDF-Reader alle jederzeit finden kann ohne das gesamte Dokument in den Speicher laden zu müssen und schnell zwischen den Seiten zu navigieren.Trailer
PDF Reader schaut sich zuerst den Trailer an, da er die notwendigen Informationen zum Parsen der gesamten Datei enthält. Die wichtigsten Schlüssel sind der Offset zur Querverweistabelle, die Anzahl der Objekte in der Datei und der Verweis auf das Katalog-(Wurzel-)Objekt. Das Katalogobjekt ist das erste Objekt in der Body-Hierarchie und definiert, wie das Dokument angezeigt wird (das Seitenlayout), die Objekte umrissen werden und der Inhalt präsentiert wird.PDF als bevorzugte Waffe von Cyberkriminellen – DC_Studio/Envato
Gängige Angriffsvektoren
Nachdem wir uns nun mit der Architektur von PDFs befasst haben, wollen wir uns ansehen, wie sie von Cyberkriminellen kompromittiert und verwendet werden.Ähnlich wie MS Office-Dokumente sind PDF-Dateien seit vielen Jahren weit verbreitet. Neben ihrer Popularität und der Tatsache, dass es sich um ein plattformübergreifendes Format handelt, sind PDF-Dateien für Bedrohungsakteure sehr attraktiv und werden als Ausgangspunkt für die Infiltration verwendet.
Von einem einfachen Phishing-Angriff bis hin zu einem ausgeklügelten Exploit kann PDF auf viele Arten als Waffe eingesetzt werden.
Phishing
Als PDF zu einem beliebten Dokumentformat wurde, erkannten Cyberkriminelle die Möglichkeit, mithilfe von Social Engineering-Techniken Phishing-PDFs bereitzustellen.Wie bei Office-Dokumenten sind E-Mail-Anhänge zum wichtigsten Verbreitungsmedium geworden.
Andere Dokumenttypen, wie beispielsweise Office-Dateien, haben sich im Laufe der Jahre einen schlechten Ruf erarbeitet, da sie mit verschiedenen Sicherheitslücken und Makros weit verbreitet ausgenutzt wurden. PDFs wurden in der Vergangenheit als ein sichereres Format angesehen und haben sich aufgrund weniger bekannter Sicherheitsverletzungen und tatsächlicher Bedrohungen den Ruf erworben, weniger gefährlich zu sein.
Phishing-PDFs enthalten normalerweise einen Link zu einer externen URL, die den Benutzer zu folgenden Möglichkeiten weiterleiten soll:
- Phishing-Site: Es könnte eine gefälschte Banking-, Dating-Site oder eine andere E-Commerce-Seite sein, die die Opfer ermutigt, ihre persönlichen Daten einzugeben Informationen, die an den Angreifer gesendet werden.
- Traffic Direction Systems (TDS): Diese Systeme sind ein webbasiertes Gateway, das entwickelt wurde, um den Computer eines Benutzers zu analysieren, um Systemdaten wie Betriebssystem, Standort, Sprache und mehr zu sammeln. Mit TDS kann ein Angreifer das Opfer auf verschiedene Werbe-Websites oder sogar auf eine Malware-Infektionsseite umleiten.
- Malware-Infektionswebsite: Diese Websites enthalten normalerweise Code, der eine schädliche Datei auf den Computer des Opfers herunterlädt.
Ein häufiger Trend in den letzten Jahren – ein Captcha-Bild mit einer eingebetteten URL, das das Opfer auf eine Phishing- oder unerwünschte Werbewebsite umleitet.
Aktionen und JavaScript
Die meisten PDF-Benutzer kennen und verwenden PDF-Bearbeitungsfunktionen. Aber es gibt auch eine Funktion namens „Aktionen“, mit der Sie eine Vielzahl von Aufgaben ausführen können, darunter die folgenden:- Öffnen eines Weblinks
- Öffnen einer Datei
- Ausführen von JavaScript-Code
- Senden eines Formulars
- … und andere Aktionen
Einige der Aktionen und Auslöser, die mit Adobe Acrobat erstellt werden können:
- SubmitForm: Diese Aktion ermöglicht das Senden von Informationen über eine interaktive Formularvorlage an einen vordefinierten Remote-Standort, unter Verwendung von AcroForms oder einer neueren XML Forms Architecture (XFA) von Adobe.
- JavaScript: Wenn vom PDF-Reader vollständig unterstützt, kann JavaScript verwendet werden, um auf jeden Teil des Dokuments zuzugreifen und ihn zu bearbeiten. Es wurde auch verwendet, um die Schwachstellen verschiedener PDF-Reader auszunutzen.
- URL: User können mit verschiedenen Social-Engineering-Methoden dazu gebracht werden, den eingebetteten URLs zu folgen, um Phishing zu begehen oder Opfer einfach dazu zu zwingen, Websites mit unerwünschter Werbung zu besuchen.
Diese Art von Angriff kann, wie bei den Phishing-Betrügereien, die meisten PDF-Reader und Browser betreffen. Diese Angriffe basieren auf den integrierten Funktionen der Reader und funktionieren immer, wenn die Benutzer dies zulassen, im Gegensatz zur Ausnutzung von Schwachstellen in PDF-Readern.
Neben Phishing kann JavaScript auch zum Senden ausgefüllter Formularinformationen verwendet, sowie für leistungsstarke Aktionen wie das Ausgeben von PowerShell-Befehlen oder das Ablegen einer schädlichen Datei genutzt werden.
Wie wir gesehen haben, kann JavaScript verwendet werden, um Daten zu exfiltrieren und/oder bösartigen Code auf dem Computer des Benutzers auszuführen, aber es ist auch leistungsstark genug, um potenzielle Schwachstellen in PDF-Readern auszunutzen.
Exploits und Schwachstellen
PDF-Dokumente können mit Browsern und PDF-Readern oder speziellen Anwendungen für PDF-Dateien angezeigt werden und können jeweils Schwachstellen aufweisen, die von Bedrohungen ausgenutzt werden können.Diese Sicherheitsanfälligkeiten können in mehrere Kategorien unterteilt werden, einschließlich, aber nicht beschränkt auf die folgenden:
- Ausführung von willkürlichem Code
- Pufferüberlauf
- Denial-of-Service
- Speicherbeschädigung
- Out-of-bounds Read
Obwohl Unternehmen ihre Produkte regelmäßig aktualisieren, ist es wichtig, sich daran zu erinnern, dass es immer noch viele „Zero Days“ gibt, die noch nicht gemeldet oder entdeckt wurden. Darüber hinaus verwenden viele Benutzer immer noch ältere und ungepatchte Versionen von PDF-Readern und -Browsern.
Sicherheitsforscher und Hacker finden fast täglich neue PDF-bezogene Exploits, wobei „Out-of-bounds-Read“-Schwachstellen eine der häufigsten sind.
Eine Schwachstelle beim Lesen außerhalb der Grenzen tritt auf, wenn ein Programm versucht, Daten vor dem Anfang eines Puffers oder nach seinem Ende zu lesen. In der Informatik ist ein Puffer ein Segment des physischen Speichers, das temporäre Daten speichert, damit sie verwendet werden können.
Dies geschieht normalerweise, wenn ein Zeiger einer arithmetischen Operation zu einer Position außerhalb der Grenzen des zugewiesenen Speichers führt; Dies kann dazu führen, dass das Programm den Speicher zerstört oder beschädigt.
Ein Angreifer kann diese Sicherheitsanfälligkeit zu seinem Vorteil ausnutzen. Durch das Lesen von Speicheradressen oder geheimen Werten außerhalb der Grenzen kann der böswillige Akteur Informationen sammeln, die dazu beitragen können, eine nicht verwandte Schwachstelle auszunutzen und einen beliebigen Code auf dem Computer des Opfers auszuführen.
Hier ist ein Beispiel für diese Sicherheitsanfälligkeit, die in freier Wildbahn ausgenutzt wurde:
CVE-2018-4893: Diese Sicherheitsanfälligkeit tritt als Ergebnis einer Berechnung auf, die Daten liest, die über das Ende des Zielpuffers hinausgehen; die Berechnung ist Teil der XPS (XML Paper Specification) Font-Verarbeitung. Diese im Februar 2018 veröffentlichte kritische Schwachstelle ist zum Zeitpunkt der Erstellung dieses Dokuments bereits dreieinhalb Jahre alt. Trotzdem ist sie immer noch in freier Wildbahn zu sehen.
Anti-Virus-Anbieter im Vergleich zu Mal-PDF
Unterscheidung zwischen einer Phishing-PDF und einer legitimen PDF kann eine Herausforderung darstellen. Das folgende Beispiel zeigt, wie ähnlich beide Dokumente zu sein scheinen. Sie besitzen einen sehr analogen Aufbau – beide bestehen aus einer Seite mit wenig Text und einem Hyperlink zum Anklicken, der den Nutzer auf eine Webseite umleitet.Selbst Anbieter von Antivirenprogrammen der nächsten Generation können diese Aufgabe nur schwer bewältigen. Während die Herausforderungen, dies zu mindern, je nach Anbieter unterschiedlich sind, können schlechte Erkennungsfunktionen oder schlechte Identifizierung und Klassifizierung zu einer hohen Falsch-Positiv-Rate führen. Viele Antivirus-Anbieter erkennen Phishing-PDFs nicht richtig.
PDF als bevorzugte Waffe von Cyberkriminellen
Wir haben besprochen, wie PDF-Dokumente aufgebaut sind und welche Aktionen beim Erstellen einer Datei verfügbar sind. Wir haben gesehen, wie ein Angreifer mithilfe von benutzerdefiniertem JavaScript oder integrierten Aktionen eine PDF-Datei erstellen kann, die einen Phishing- oder Malware-Angriff auslöst, oder sogar eine von vielen Schwachstellen ausnutzt, um einen noch wirkungsvolleren Angriff durchzuführen .Darüber hinaus haben wir gezeigt, wie schwierig es ist, einen Phishing-Versuch von einer legitimen PDF-Datei zu unterscheiden, und dass selbst Antiviren-Anbieter der nächsten Generation solche Angriffe nur schwer erkennen können.
Deep Instinct schützt seine Kunden mit einem robusten Deep-Learning-basierten Schutzmechanismus, der Zero-Day-Bedrohungen in Form von PDF-, PE- und anderen bösartigen Dateien nahtlos verhindern kann.
Wenn Sie mehr über unseren branchenführenden Ansatz zum Stoppen von Malware erfahren möchten, kontaktieren Sie uns und wir richten für Sie eine kostenlose Demo ein.