《惡意 PDF 閃避技術分析 _ 雲端運算與網路安全趨勢部落格》.pdf

13/12/6 惡意 PDF 閃避技術分析 | 雲端運算與網路安全趨勢部落格 雲端運算與網路安全趨勢部落格 趨勢科技 Trend Micro 全程護航 邁向雲端 APT 攻擊防禦專家 惡意 PDF 閃避技術分析 發表於 20 13 年 11 月 26 日 由 Trend Labs 趨勢科技全球技術支援與研發中心 Tweet 1 9 讚 177 Share 讚 177 9 推文 1 Share StumbleUpon 在許多漏洞攻擊包裡 ，惡意PDF檔案是用來感染使用者以帶入各種惡意檔案的最常見威脅之一 。自然地 ，安全廠 商會投資在正確偵測這些檔案的努力上 – 而惡意作者也會投資在閃避這些廠商的偵測上 。 透過主動式雲端截毒技術的回饋資料 ，我們研究了幾種今日常見用在PDF漏洞攻擊的技術 。這篇文章會介紹這些 技術 。對於這些技術的瞭解則有助於加強趨勢科技偵測這些漏洞的能力。 常見的JavaScript閃避技術 大多數PDF漏洞攻擊碼都會使用某種形式的內嵌JavaScript 。正因為如此 ，常見的JavaScript閃避和模糊處理技 術也會被用在這裡 。例如 ：字符串替換 、try-catch 例外 ，fromCharCode迴圈都可以用在PDF檔案 。 下面的程式碼片段顯示一些被使用的技術 ： blog ..tw/?p 6871 1/6 13/12/6 惡意 PDF 閃避技術分析 | 雲端運算與網路安全趨勢部落格 圖一 、常見被使用的JavaScrip t閃避/ 混淆處理技術 這個特定的漏洞攻擊碼針對CVE-2010-0188 。 編碼內容和函數名稱的INFO物件 這類型的混淆處理將加密過的程式碼存到部分INFO物件 （如標題 、主題 、作者等）。可以用JavaScript來提取和 解碼加密過的惡意程式碼 。 在此樣本裡 ，INFO物件的標題/建立者欄位很詭異 。建立者欄位是非常長的字串，用無數驚嘆號來斷開。 圖二 、INFO物件內的編碼過程式碼 跟前面的漏洞攻擊碼一樣 ，這樣本也是針對CVE-2010-0188 。 針對JavaScript執行平台 （Runtime） 這種類型的閃避技術是為了躲避分析工具 。執行PDF檔案內的JavaScript需要特定的執行平台程式庫 。這程式庫 是Adobe Reader的一部分 ，但大多數分析工具並不包含 。當惡意軟體發現部分函數並無定義或無法正確動作 ，惡 意程式碼就不會被解密 。 可以被用在這裡的函數包括檢查檔案大小和檢查應用程式版本 。 在下面的例子裡 ，app.endPriv會被檢查 ，如果它沒有被正確定義 ，就不會執行惡意程式碼 。 圖三 。檢查特定函數 blog ..tw/?p 6871 2/6 13/12/6 惡意 PDF 閃避技術分析 | 雲端運算與網路安全趨勢部落格 欄位屬性和範圍函數 有些惡意軟體會使用XML表單架構 （XFA ）的欄位屬性來做條件檢查 。就像上面的例子 ，分析工具並沒有正確的 「實作」這些範圍函數 。如果特定物件和函數無法被找到 （在這例子中是ImageFiled1物件和ZZA 函數），再次 地 ，惡意程式碼將不會被執行 。 在其他案例中，可能會利用寬度和高度等屬性 。 圖4 、欄位屬性