来自 数据 2022-06-04 10:50 的文章

cc防御_腾讯服务器如何防御ddos攻击_优惠券

cc防御_腾讯服务器如何防御ddos攻击_优惠券

恶意PDF中的另一个恶作剧

avast发现了一种生成恶意PDF文件的新方法!病毒实验室小组。新方法不仅仅是一个特定的、可修补的漏洞;这是一个使恶意PDF文件的制作者能够通过几乎所有AV扫描仪的技巧。

总体而言,PDF规范允许对原始数据使用许多不同的过滤器(如ASCII85Decode、RunLengthDecode、ASCIIHexDecode、FlateCode等)。此外,对单个数据输入使用的过滤器数量没有限制。任何人都可以在数据使用的位置创建有效的PDF文件,例如,五个不同的过滤器或同一过滤器的五层。所有这些功能都基于非常自由的规范,这一事实允许坏人以不允许反病毒扫描程序访问真实有效负载的方式利用恶意文件。

新的技巧仅基于一个过滤器,因此听起来并不令人兴奋,是吗?那么,发布这篇博文的原因是什么?

用于加密文本数据的过滤器仅用于黑白图像。除了avast!,可能目前没有其他AV扫描仪能够解码有效载荷,因为没有其他AV能够检测到这些PDF文件。

当我们在一个月前发现一个新的、以前未看到的PDF文件时,这个故事就开始了。我们或任何其他AV公司都没有检测到。但是它的原始URL地址非常可疑,很快我们就确认了刚刚打开此文档所导致的攻击和系统感染。但是我们的解析器无法获得任何合适的内容,我们可以将其定义为恶意内容。没有任何javascript流,只有下一幅图中显示的单个XFA数组。

XFA表单通常包含恶意TIFF图像,利用众所周知的CVE-2010-0188漏洞进行攻击。我们对XFA数组引用的对象感兴趣。正如您所见,只有两个参考:

数据集对象很容易被我们的扫描仪解码,因为它使用了一个非常常见的过滤器–FlateCode。从流中解码的数据并不可疑——只是一些用base64算法编码的数据(如下图所示)。主有效载荷必须由第一个模板对象覆盖。

不幸的是,我们的扫描仪无法解码此内容。那怎么了?为什么其他AV引擎也无法检测到这样的漏洞?这些问题的答案如下图所示。

上图为对象流定义。它说这个对象有3125字节长,我们必须使用两个过滤器来解码原始数据——第一层是FlateCode,第二层是JBIG2Decode。但为什么要JBIG2Decode呢?这是一种纯粹的图像编码算法,不是吗?正确,udpddos攻击防御,以下文本是Adobe在PDF文档(第3.3.6部分,第80页)中对其的说明:

JBIG2编码过滤器(PDF 1.4)对使用JBIG2编码的单色(每像素1位)图像数据进行解码。JBIG代表联合双层图像专家组,这是国际标准化组织(ISO)内开发该格式的一个小组。JBIG2是最初作为JBIG1发布的标准的第二个版本。JBIG2编码同时提供有损和无损压缩,ddos怎么防御阿,仅对单色图像有用,不适用于彩色图像、灰度图像或一般数据。这里不描述编码器使用的算法以及格式的细节。JBIG2规范的工作草案可在JBIG和JPEG(联合摄影专家组)委员会的网站上找到,网址为 >.

以及取自同一规范(第4.8.6部分,第353页):

还请注意,JBIG2Decode和JPXDecode未在表4.44中列出,因为这些过滤器只能应用于图像XObject。

这是PDF的另一个惊喜,当然是Adobe的另一个惊喜。谁会想到纯图像算法可能会被用作任何对象流上的标准过滤器呢?这就是为什么我们的扫描仪无法成功解码原始内容的原因——我们没有料到会有这种行为。公平地说,任何数据(文本或二进制)都可以声明为单色二维图像–这就是JBIG2算法在这里工作的原因。

我们猜测图像的第一个维度可能设置为1像素,第二个维度设置为更高的像素数。这是将非图像数据声明为单色图片的最简单方法。下图显示了由FlateCode过滤器处理的数据,因此它实际上是一个JBIG2流(PDF版本的JBIG2,因为此处缺少文件头)。

上图中的两个彩色32位数字表示图像尺寸。你可以看出我们的猜测是对的。图像宽25056像素(红色:0x000061E0),高1像素(黄色:0x00000001)。请记住,服务器如何防御cc,图像是单色的,因此1像素=1位。要获得以字节为单位的解码数据的大小,我们需要将宽度除以8,得到3132字节。下图显示了经过两次解码程序后的真实内容。

内容是众所周知的CVE-2010-0188漏洞。坏蛋们正在构建一个巧尽心思构建的TIFF(请参见图片中带下划线的文本,这是一个由base64算法编码的TIFF头)文件,该文件利用Adobe Reader。该漏洞已在当前版本中修补,仅旧版本受影响。

我们在发现后立即发布了PDF:ContEx[Susp]检测。我们已经监控了这个新把戏一个多月了,现在把这个解码算法添加到我们的PDF引擎中。基于来自avast的信息!根据病毒实验室的记录,这种新的技巧目前只在极少数攻击中使用(与其他攻击相比),这可能是其他人无法检测到它的原因。然而,我们已经看到这种恶作剧也被用于有针对性的攻击。

以下是显示检测分数的VirusTotal链接: