微剋多資訊

 找回密碼
 註冊

Sign in with google

Google帳號登入

搜索
回覆 21則 瀏覽 18761篇
Line

小心!PDF也會藏毒

 

該用戶從未簽到

升級   13.5%

跳轉到指定樓層
主題
發表於 2010-5-7 14:47 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
前些時候,資安研究人員,就發表『PDF檔也可以藏毒』,就是,透過在PDF檔案中寫入/Launch指令的手法,可以讓使用者只要執行特定的PDF檔案,連帶就自動執行其他任何程式。

果然,近日已有『利用PDF合法漏洞的攻擊事件出現』,轉『iThome』的報導現況,給大家參考,不要隨意點『同意』執行,這個致命的動作。
利用先前資安研究員揭露的合法「/Launch」指令,搭配社交工程手法的攻擊出現了,攻擊者將之用來傳遞Zeus惡意程式

重 點
● 運用PDF的「/Launch」功能的攻擊手法出現
● 攻擊者使用此手法散布惡意程式Zeus

上周iThome電腦報周刊封面故事報導了資安研究員Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻擊手法,將可能成為未來PDF安全上的一大威脅。果不其然,現在利用此一手法的攻擊已經出現了。

資安廠商Websense的技術長Dan Hubbard,日前公開發表了他發現駭客開始利用「/Launch」指令,透過合法的方式搭配社交工程掩護,攻擊使用者的事件。其手法正好和資安研究員Dider Stevens和Jeremy Conway所揭露的方式如出一轍。

用PDF合法的指令,誘騙使用者打開惡意程式
兩位資安研究員所揭露的手法是這樣的,3月底,Dider Stevens證實了,可以透過PDF合法的「/Launch」指令,讓PDF檔案在開啟的時候,自動去執行任何應用程式。雖然多數的PDF閱讀軟體,都會跳出警告,但是警告的文字內容,也可以被攻擊者更改,這使得攻擊者可以透過社交工程的方式,誘騙使用者打開應用程式。

而隨後4月初,Jeremy Conway利用這個方法,證明了攻擊者可以透過被植入「/Launch」指令程式碼的PDF文件,讓另一個健康的PDF文件被植入程式碼,並且在PDF閱讀軟體沒有允許Java Script可以執行的狀況下,讓使用者只要點擊被植入了程式碼的PDF檔案,並且在被社交工程手法誘騙去點選開啟程式的狀況下,就自動連線到攻擊者指定的網站。這和過去透過PDF夾帶Java Script的手法完全不同,可以利用完全合法的手段讓使用者連上惡意網站。因為是合法的手段,這代表著在這過程中,幾乎沒有任何防毒軟體會發出警告。

散播的惡意程式為Zeus,是首宗用此一手法的攻擊
現在,根據Dan Hubbard所發表的內容,網路上已經有攻擊者開始利用這個手法,散布知名的僵屍網路惡意程式Zeus的變種。據了解,攻擊者會寄送一封夾帶有Royal_Mail_Delivery_Notice.PDF檔案的電子郵件,然後只要使用者執行此一PDF檔案,並且允許後續動作的話,就會像在使用者的電腦中植入惡意程式Zeus。這是目前首個被發現利用此一手法攻擊的惡意程式。不過此一手法最終還是利用Java Script來連外道惡意網站植入惡意程式,也沒有透過社交工程的手法去修改警告方塊的文字,誘騙使用者允許後續動作,所以還沒有像前述手法那樣高明,只要使用者關閉了Java Script執行的功能就可以避免危險。

Zeus是一個惡名昭彰的惡意程式,擁有許多變種,被感染的電腦就會被攻擊者利用,成為僵屍電腦。由於不易被發現,Zeus已經是目前在美國肆虐最嚴重的惡意程式之ㄧ,根據非正式的估計,光在美國目前就約有360萬臺電腦已經感染了此一惡意程式的各種變種。先前由華爾街日報揭露的僵屍網路「Kneber」,也是使用Zeus做為攻擊的程式。

Adobe的軟體是目前最多人使用的PDF閱讀軟體,不過針對這個利用PDF閱讀軟體合法功能的漏洞,Adobe目前還沒有將其完全根絕,先前推出大規模更新,也沒有針對此一手法做出修正,取而代之的是要求使用者關閉PDF閱讀軟體中,開啟第三方應用程式的功能,藉此阻擋「/Launch」功能。

企業的IT管理者,如果想要避免這個問題,目前除了上述關閉PDF閱讀軟體的部分功能外,還必須搭配閘道端的掃描。
樓主熱門主題

簽到天數: 758

該用戶今日未簽到

升級   100%

2F
發表於 2010-5-7 22:42 | 只看該作者
前陣子好像有上雅虎首頁新聞
這些只會專漏洞害別人的人真是可惡

使用道具

簽到天數: 6

該用戶今日未簽到

升級   0%

3F
發表於 2010-6-10 22:49 | 只看該作者
真的太可怕了
世風日下  
我現階段接觸的都是官方說明書之類的
應該不致於被放毒吧?

使用道具

gymlux-andy 該會員已被刪除
4F
發表於 2010-10-21 13:56 | 只看該作者
提示: 作者被禁止或刪除 內容自動屏蔽

使用道具

該用戶從未簽到

升級   12.5%

5F
發表於 2011-4-28 11:55 | 只看該作者
pdf也藏毒.這漏洞應該要補.
網路安全防不慎防.
小心點不要亂點.

使用道具

該用戶從未簽到

升級   55%

6F
發表於 2011-4-28 17:42 | 只看該作者
我也有使用這軟件,沒想到會有毒,多謝提醒,以後真要小心啊!

使用道具

該用戶從未簽到

升級   46%

7F
發表於 2011-7-2 08:14 | 只看該作者
越多人用的東西
就越可能有病毒
現在pdf已成大家的電子文檔
不僅方便也實用
這軟件真是太造福pdf族群了
感謝版大{:3_46:}

使用道具

該用戶從未簽到

升級   63%

8F
發表於 2011-7-4 09:21 | 只看該作者
難怪有時候開pdf會怪怪的
原來如此。

使用道具

該用戶從未簽到

升級   38.5%

9F
發表於 2011-7-21 17:14 | 只看該作者
使用到PDF的機會不太多...
現在要使用網路上的軟體真的要格外小心
防毒也要做好

使用道具

該用戶從未簽到

升級   22.5%

10F
發表於 2011-10-5 09:01 | 只看該作者
對於考季中製作備審資料的學子是一大提醒.辛苦樓主的提醒與付出{:3_52:}

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2024-12-22 14:58

Discuz! X

© 2009-2023 Microduo

快速回覆 返回頂部 返回列表