cc防御_腾讯服务器如何防御ddos攻击_优惠券

cc防御_腾讯服务器如何防御ddos攻击_优惠券

恶意PDF中的另一个恶作剧

avast发现了一种生成恶意PDF文件的新方法!病毒实验室小组。新方法不仅仅是一个特定的、可修补的漏洞;这是一个使恶意PDF文件的制作者能够通过几乎所有AV扫描仪的技巧。

总体而言,PDF规范允许对原始数据使用许多不同的过滤器(如ASCII85Decode、RunLengthDecode、ASCIIHexDecode、FlateCode等)。此外,对单个数据输入使用的过滤器数量没有限制。任何人都可以在数据使用的位置创建有效的PDF文件,例如,五个不同的过滤器或同一过滤器的五层。所有这些功能都基于非常自由的规范,这一事实允许坏人以不允许反病毒扫描程序访问真实有效负载的方式利用恶意文件。

新的技巧仅基于一个过滤器,因此听起来并不令人兴奋,是吗?那么,发布这篇博文的原因是什么?

用于加密文本数据的过滤器仅用于黑白图像。除了avast!,可能目前没有其他AV扫描仪能够解码有效载荷,因为没有其他AV能够检测到这些PDF文件。

当我们在一个月前发现一个新的、以前未看到的PDF文件时,这个故事就开始了。我们或任何其他AV公司都没有检测到。但是它的原始URL地址非常可疑,很快我们就确认了刚刚打开此文档所导致的攻击和系统感染。但是我们的解析器无法获得任何合适的内容,我们可以将其定义为恶意内容。没有任何javascript流,阿里如何防御ddos,只有下一幅图中显示的单个XFA数组。

XFA表单通常包含恶意TIFF图像,利用众所周知的CVE-2010-0188漏洞进行攻击。我们对XFA数组引用的对象感兴趣。正如您所见,只有两个参考:

数据集对象很容易被我们的扫描仪解码,因为它使用了一个非常常见的过滤器–FlateCode。从流中解码的数据并不可疑——只是一些用base64算法编码的数据(如下图所示)。主有效载荷必须由第一个模板对象覆盖。

不幸的是,我们的扫描仪无法解码此内容。那怎么了?为什么其他AV引擎也无法检测到这样的漏洞?这些问题的答案如下图所示。

上图为对象流定义。它说这个对象有3125字节长,我们必须使用两个过滤器来解码原始数据——第一层是FlateCode,第二层是JBIG2Decode。但为什么要JBIG2Decode呢?这是一种纯粹的图像编码算法,不是吗?正确,以下文本是Adobe在PDF文档(第3.3.6部分,DDOS最大防御值,第80页)中对其的说明:

JBIG2编码过滤器(PDF 1.4)对使用JBIG2编码的单色(每像素1位)图像数据进行解码。JBIG代表联合双层图像专家组,这是国际标准化组织(ISO)内开发该格式的一个小组。JBIG2是最初作为JBIG1发布的标准的第二个版本。JBIG2编码同时提供有损和无损压缩,仅对单色图像有用,不适用于彩色图像、灰度图像或一般数据。这里不描述编码器使用的算法以及格式的细节。JBIG2规范的工作草案可在JBIG和JPEG(联合摄影专家组)委员会的网站上找到,网址为 >.

以及取自同一规范(第4.8.6部分,第353页):

还请注意,JBIG2Decode和JPXDecode未在表4.44中列出,因为这些过滤器只能应用于图像XObject。

这是PDF的另一个惊喜,当然是Adobe的另一个惊喜。谁会想到纯图像算法可能会被用作任何对象流上的标准过滤器呢?这就是为什么我们的扫描仪无法成功解码原始内容的原因——我们没有料到会有这种行为。公平地说,100g高防cdn作用,任何数据(文本或二进制)都可以声明为单色二维图像–这就是JBIG2算法在这里工作的原因。

我们猜测图像的第一个维度可能设置为1像素,第二个维度设置为更高的像素数。这是将非图像数据声明为单色图片的最简单方法。下图显示了由FlateCode过滤器处理的数据,因此它实际上是一个JBIG2流(PDF版本的JBIG2,因为此处缺少文件头)。

上图中的两个彩色32位数字表示图像尺寸。你可以看出我们的猜测是对的。图像宽25056像素(红色:0x000061E0),高1像素(黄色:0x00000001)。请记住,图像是单色的,因此1像素=1位。要获得以字节为单位的解码数据的大小,我们需要将宽度除以8,得到3132字节。下图显示了经过两次解码程序后的真实内容。

内容是众所周知的CVE-2010-0188漏洞。坏蛋们正在构建一个巧尽心思构建的TIFF(请参见图片中带下划线的文本,这是一个由base64算法编码的TIFF头)文件,该文件利用Adobe Reader。该漏洞已在当前版本中修补,仅旧版本受影响。

我们在发现后立即发布了PDF:ContEx[Susp]检测。我们已经监控了这个新把戏一个多月了,现在把这个解码算法添加到我们的PDF引擎中。基于来自avast的信息!根据病毒实验室的记录,这种新的技巧目前只在极少数攻击中使用(与其他攻击相比),这可能是其他人无法检测到它的原因。然而,我们已经看到这种恶作剧也被用于有针对性的攻击。

以下是显示检测分数的VirusTotal链接:

热门推荐
  • ddos清洗_流量攻击防护ddos_优惠券

      在我上周的博客文章《揭秘机器学习:做出明智的安全决策》中,我讨论了一个评估机器学习声明的框架。本周,我们来看看......

    09-02    来源:长虹华伟

    分享
  • 香港高防cdn_防ddos攻击服务_怎么办

      近几个月来,关于加密的争论再次升温。最近,ThreatWire报道了一种新的工具,即GrayKey,它可以解密最新版本的iPhone,在整个......

    04-07    来源:长虹华伟

    分享
  • 服务器防御_防cc攻击代码c#_精准

      以下是从3月份开始的一些重要更新新的!你的冠状病毒和家庭资源中心的工作你知道吗,仅在3月份,网络犯罪者就发起了超......

    08-26    来源:长虹华伟

    分享
  • 高防ddos_高防服务器文章_秒解封

      我们面临着许多网络安全挑战,但Avast准备用我们迄今为止最强大的保护来迎战这些挑战。 技术已经成为我们生活中不可或缺......

    05-23    来源:长虹华伟

    分享
  • ddos防火墙_服务器防护软件_新用户优惠

      本季共10集,于美国东部时间9月7日晚9点播出,在DIRECTV和atT*将于美国东部时间2016年9月7日晚9点推出广受好评的第三季系列节......

    03-13    来源:长虹华伟

    分享
  • ddos防御工具_ddos防护原理_限时优惠

      上周,我们在Reddit上讨论了恶意软件加密器、图像文件执行选项(IFEO)和电影垃圾邮件子标题。恶意软件情报分析师克里斯......

    03-21    来源:长虹华伟

    分享
  • cdn防御cc_游戏盾是什么_限时优惠

      你知道吗,35%的员工会出售公司信息,有些人只接受100英镑?为了有效地保护您的关键业务数据,您需要真正了解值什么从运......

    06-17    来源:长虹华伟

    分享
  • ddos防护_cc防御软件_打不死

      2015年10月是国家网络安全联盟第12个年度全国网络安全意识月。为了提高网络意识,我们发布了一个有趣的测试,测试你的共......

    04-26    来源:长虹华伟

    分享
  • 服务器防护_免费高防cdn_怎么办

      FacebookTwitterLinkedIn分享John和我昨天结束了OWASP AppSec 2007圣何塞会议。现在我们将与一些客户和合作伙伴会面,然后返回德克萨......

    11-22    来源:长虹华伟

    分享
  • 防御ddos_上海云盾_3天试用

      Imperva最近发现并缓解了其历史上规模最大、最集中的一系列暴力ATO(账户接管)攻击。从10月28日午夜开始的60个小时里,我......

    03-14    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。