Список программ, в которых создаются вредоносные PDF

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 22 Mar 2013.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,063
    Reputations:
    693
    Список программ, в которых создаются вредоносные PDF


    Таргетированные атаки типа APT зачастую начинаются с рассылки вредоносных файлов по электронной почте, чтобы «подцепить» жертву, а уже затем с её компьютера продолжить вредоносную активность в локальной сети.

    Участники хакерских курсов Rapid Reverse Engineering провели исследование, в каких программах создаются эти PDF-файлы. Студенты разработали скрипт Python для автоматического извлечения метаданных из файлов, хранящихся в базе образцов. Всего в базе было более 300 образцов APT-атак.

    Анализ файлов дал следующие результаты, вот десятка самых популярных программ.

    Acrobat Web Capture 8.0 (15%)
    Adobe LiveCycle Designer ES 8.2 (15%)
    Acrobat Web Capture 9.0 (8%)
    Python PDF Library - http://pybrary.net/pyPdf/ (7%)
    Acrobat Distiller 9.0.0 (Windows) (7%)
    Acrobat Distiller 6.0.1 (Windows) (7%)
    pdfeTeX-1.21a (7%)
    Adobe Acrobat 9.2.0 (4%)
    Adobe PDF Library 9.0 (4%)

    Кроме них, встречаются и такие артефакты (они не вошли в топ-10).

    Advanced PDF Repair (http://www.pdf-repair.com)
    Acrobat Web Capture 6.0
    doPDF Ver 6.2 Build 288 (Windows XP x32)
    alientools PDF Generator 1.52
    PDFlib 7.0.3 (C++/Win32)

    Всё это очень странно. Похоже, злоумышленники используют совершенно разный софт, в том числе устаревшие версии программ, и даже не пытаются стереть метаданные.

    Теоретически, можно даже сделать систему раннего обнаружения атак APT по метаданным во входящих PDF-файлах.

    21.03.2013
    http://www.xakep.ru/post/60312/
    http://carnal0wnage.attackresearch.com/2013/03/apt-pdfs-and-metadata-extraction.html​
     
    _________________________
  2. [V]

    [V] Banned

    Joined:
    27 Feb 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Это метаданные самых популярных редакторов PDF. Будем палить и обычные документы?
     
Loading...