Рис. 1. Количество хостов, детектируемых методом проверки PDF-файлов
Как видно из рисунка 1, количество хостов, с которых распространяются вредоносные PDF-файлы, растет с каждым днем. Метод применяется для детектирования сайтов, ранее считавшихся безопасными, и имеет сравнительно небольшое количество срабатываний.
Однако за время работы нового поведенческого анализатора удалось обнаружить более 1200 новых зараженных сайтов, которые раньше оставались незамеченными. Среди них есть более ста популярных ресурсов, которые в сумме в результатах поиска отображались более 18 миллионов раз в неделю.
Интерес злоумышленников к Adobe Reader обусловлен поддержкой встроенного JavaScript-движка и возможностью использования форм, а также статического и динамического внешнего содержимого. Такой подход дает злоумышленником большое поле для исследований и поиска уязвимостей.
Самой популярной уязвимостью, используемой злоумышленниками для заражения вредоносным ПО компьютеров пользователей, на сегодня является CVE-2010-0188. В период с 18 по 26 сентября нам удалось зафиксировать более 1100 уникальных вредоносных PDF-файлов, использующих эту уязвимость. Также эта уязвимость осталась в самом популярном на данный момент эксплойт-паке – BlackHole v.2.
Сама уязвимость заключается в неверной обработке параметра DotRange одной из структур Image File Directory в прикрепленном к PDF TIFF-файле. Уязвимы версии Adobe Reader <8.3.1 и <9.3.
Для примера возьмем PDF из BlackHole v.2, использующем эту уязвимость. Хеши вредоносного файла:
- MD5: 327378bd6d542e3da1ccb9664377eb87
- SHA1: e58a3724e0ea1d54258589489472c86adecc4dad
- SHA256: 7b495ef928de9e2348a3882628a0987dd26a4f9c02e1b4c527eac143bc8e56af
По данным сервиса VirusTotal.com, на 27 сентября данный вредоносный PDF-файл детектируется 12 антивирусами из 42.
Злоумышленники всегда стараются обфусцировать вредоносный код, усложняя тем самым анализ, а также применяют различные техники, которые позволяют обходить эмуляцию, сбивать поведенческие анализаторы и сигнатурные анализаторы.
Вредоносный JavaScript в PDF спрятан в одном из объектов, показанном на рисунке 2, откуда его достаёт и дешифрует другой JavaScript, показанный на рисунке 3.
Рис.2. Зашифрованное тело основного вредоносного JavaScript в PDF
Рис.3. Код, дешифрующий основное тело вредоносного JavaScript кода в PDF
После дешифровки основная функция, выполняющая вредоносные действия, выбирает в зависимости от версии Adobe Reader вредоносный TIFF-файл.
Рис.4. Функция, эксплуатирующая уязвимость в PDF-файле в зависимости от версии
Как показано на рисунке 4, если версия Adobe Reader будет ниже 9, то для эксплуатации будет выбран один TIFF-файл, а если выше – то другой.
При успешной эксплуатации уязвимости выполнится код, который скачает и запустит вредоносный файл на компьютере пользователя.
Рис.5. Урл, с которого будет скачан вредоносный файл из блока памяти с вредоносным кодом
