גם קבצי PDF יכולים להכיל קוד זדוני וסוסים טרויאנים

06-06-2008, 13:08

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

גם קבצי PDF יכולים להכיל קוד זדוני וסוסים טרויאנים

חברת f-secure עלתה על כלי פשוט שמייצר קבצי PDF זדונים
בגדול התוכנה מקבלת אליה קובץ PDF וקובץ EXE ויוצרת קובץ PDF חדש שמכיל את הקובץ EXE

שימו לב לא להוריד קבצי PDF ממקורות לא מוכרים !!!!

מקור: http://www.f-secure.com/weblog/archives/00001450.html
כתבה: http://www.f-secure.com/weblog/archives/00001450.html

בתגובה להודעה מספר 1 שנכתבה על ידי The IceMan שמתחילה ב "גם קבצי PDF יכולים להכיל קוד זדוני וסוסים טרויאנים"

למה אתה מתכוון?
שכשאני פותח מסמך PDF אז אני מריץ עוד תוכנה בעצם?

_____________________________________

https://www.youtube.com/watch?v=0HRGczvZINQ&noembed

06-06-2008, 18:00

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

בתגובה להודעה מספר 2 שנכתבה על ידי hzhz שמתחילה ב "למה אתה מתכוון? שכשאני פותח..."

אני לא יודע איך זה בדיוק עובד,
אבל קבצי FDP יכולים להכיל בתוכם עוד הרבה אלמנטים חוץ מ-TEXT ותמונות
לאחרונה הוצגו אפשרויות של מולטימדיה

אולי מדובר בחור אבטחה של ADOBE , כרגע אני לא יודע ממש
וגם החברה שמצאה את הכלי לגמרי במקרה חוקרת את הקוד של התוכנה כדי להבין יותר

בתגובה להודעה מספר 3 שנכתבה על ידי The IceMan שמתחילה ב "אני לא יודע איך זה בדיוק..."

ברור שאפשר להוסף לזה Attachments שמכילים וירוס אבל זה לא נקרא "חור".

_____________________________________

https://www.youtube.com/watch?v=0HRGczvZINQ&noembed

08-06-2008, 12:23

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

בתגובה להודעה מספר 4 שנכתבה על ידי hzhz שמתחילה ב "ברור שאפשר להוסף לזה..."

אני לא הכרתי דרך לשבץ קבצי הפעלה שירוצו בעת פתיחת מסמך PDF
אתה מכיר ?

09-06-2008, 20:27

שימי

מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"

חבר מתאריך: 25.10.01

הודעות: 42,775

בתגובה להודעה מספר 5 שנכתבה על ידי The IceMan שמתחילה ב "אני לא הכרתי דרך לשבץ קבצי..."

רק אם יש באג במימוש של התוכנה שקוראת

לצורך העניין, כל פורמט מידע יכול להכיל קוד זדוני וסוסים טרוייאנים. הכל תלוי בתוכנות שפותחות את המידע הזה.

אני מהמר שכדי להיות פגיע מהבאג המסויים הזה, אתה היית צריך להשתמש דווקא בתוכנת הקורא של ממציאי פורמט ה PDF (קרי: Adobe), ואילו קוראי PDF-ים אחרים שאינם מבוססים על הקוד של Adobe, כנראה לא יהיו פגיעים (לדוגמא: קוראים המבוססים על GhostView). כמובן שזה רק הימור - אין פירוט טכני על מהות הפגיעות המסויימת הזאת, אז קשה לדעת בדיוק. אבל ברובם המוחלט של המקרים זה המצב. וכשזה לא המצב, זה רק אם הסטנדרט של הפורמט קובע שזה אפשרי. במקרה הזה, זה לא "באג" אלא "פיצ'ר", אם תרצו (כמו שלא תתפלא שקובץ EXE יכול להיות זדוני, אל לך להתפלא שפורמט אחר שמאפשר הרצת קוד מכונה ללא שום sandboxing יכול להיות זדוני...)

_____________________________________

נמאס לכם לזכור סיסמאות? לחצו כאן!

10-06-2008, 07:43

יועץ אבטחה יועץ אבטחה אינו מחובר

חבר מתאריך: 23.05.08

הודעות: 74

PDF

בתגובה להודעה מספר 1 שנכתבה על ידי The IceMan שמתחילה ב "גם קבצי PDF יכולים להכיל קוד זדוני וסוסים טרויאנים"

PDF יכול להכיל קבצי EXE ו BAT (ושאר וירוסים) בדיוק כמו שניתן לגרור אל מסמכי Word קבצים מהסוג זה (ואני וירוסים בד"כ לא סורקים את האזור הזה מכיוון שהוא מתחזה למסמך וורד ורק המסמך הכתוב נסרק).

10-06-2008, 07:47

שימי

מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"

חבר מתאריך: 25.10.01

הודעות: 42,775

בתגובה להודעה מספר 7 שנכתבה על ידי יועץ אבטחה שמתחילה ב "PDF"

זהו שלא.

זה שתכניס קובץ EXE לתוך מסמך וורד לא יגרום לו לרוץ באופן אוטומטי כשפותחים את המסמך הזה. תצטרך עדיין לפתוח את הקובץ על המחשב, כאילו הוא היה כל קובץ אחר. לעומת זאת, במה שסקרה הכתבה שהובאה באשכול (קראת אותה?) - מדובר על זה שכאשר פותחים את ה PDF, בלי לבצע שום דבר אחר, יבוצע ה EXE. זה "קצת" יותר חמור...

_____________________________________

נמאס לכם לזכור סיסמאות? לחצו כאן!

10-06-2008, 18:06

יועץ אבטחה יועץ אבטחה אינו מחובר

חבר מתאריך: 23.05.08

הודעות: 74

תתפלא

בתגובה להודעה מספר 8 שנכתבה על ידי שימי שמתחילה ב "זהו שלא. זה שתכניס קובץ EXE..."

אבל עם פקודות מאקרו ושאר שיטות אני יכול להפעיל EXE גם מ Word.

#10

10-06-2008, 18:34

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

בתגובה להודעה מספר 9 שנכתבה על ידי יועץ אבטחה שמתחילה ב "תתפלא"

בגלל זה יש לך התראה בטעינה של קבצי אופיס שמכילים מקרו

#11

11-06-2008, 08:23

שימי

מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"

חבר מתאריך: 25.10.01

הודעות: 42,775

בתגובה להודעה מספר 9 שנכתבה על ידי יועץ אבטחה שמתחילה ב "תתפלא"

אני באמת מתפלא שאתה קורא סלקטיבית חלקים מההודעות שלי ומתייחס רק אל חלק מסויים בלי מה שנאמר בצמוד אליו שמבהיר בדיוק את ההבדלים בין הפעלת תוכנה ביידוע המשתמש (גם שאתה מוריד תוכנה מהאינטרנט באמצעות דפדפן אתה נשאל אם אתה רוצה להריץ אותה, ואתה יכול לבחור שכן, זה עדיין לא נקרא "הכלת קוד זדוני" - כמובן שאני מדבר על הורדות סטנדרטיות, לא על הבאגים שקיימים בדפדפן אקספלורר בלבד המאפשרים הרצת תוכנות זדוניות מבלי לשאול את המשתמש... שזה הרבה יותר חמור משום שיש הרבה יותר משתמשי אקספלורר ממשתמשי PDF...)

_____________________________________

נמאס לכם לזכור סיסמאות? לחצו כאן!

בתגובה להודעה מספר 11 שנכתבה על ידי שימי שמתחילה ב "אני באמת מתפלא שאתה קורא..."

שימי,אתה צודק בחור חביב,הרבה מן הגלוי נסתר הוא,ולכל השואלים איך אפשר לשתול קוד זדוני כתוכנה בתוך קובץ PDF,אני מוכן לשלוח לכם למחשב קובץ כזה,זה די פשוט בעיקרון אפשר להצפין אותו בתוך תמונה או בחלק מן הכתוב במסמך ולהשתמש בזה כמבנה כללי לעריכת הקוד הזדוני.

שיטות ההצפנה כיום מאפשרות כתיבת קודים זדוניים בכל מסמך ולא משנה PDF או DOC או TXT.

#13

11-06-2008, 09:55

שימי

מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"

חבר מתאריך: 25.10.01

הודעות: 42,775

בתגובה להודעה מספר 12 שנכתבה על ידי נוסטור שמתחילה ב "[b]שימי[/b],אתה צודק בחור..."

נוסטור - מה הקשר להצפנה?

_____________________________________

נמאס לכם לזכור סיסמאות? לחצו כאן!

בתגובה להודעה מספר 13 שנכתבה על ידי שימי שמתחילה ב "[B]נוסטור[/B] - מה הקשר..."

שימי,כיום בעזרת תוכנות שונות ומשונות,ניתן להצפין בתוך מסמכים תמונות,מכתבים,הוראות,וכן גם תוכנות זדוניות.

למשל לפני הפיגועים בארצות הברית בבניני התאומים,המודיעין האמריקאי טען בזמנו שאת ההוראות הן קיבלו דרך תמונה שנשלחה אליהם ובתוכה היה מוצפן ההוראות ליום הפיגועים.

זאת אומרת הם ראו תמונה וכולם ראו תמונה אבל בעזרת תוכנה שמסירה את ההצפנה מן התוכנה ניתן לקבל את מה שנרשם בו.

http://he.wikipedia.org/wiki/%D7%A1...4%D 7%99%D7%94

#15

11-06-2008, 10:13

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

בתגובה להודעה מספר 14 שנכתבה על ידי נוסטור שמתחילה ב "[b]שימי[/b],כיום בעזרת תוכנות..."

ואיך אני שמקבל קובץ TXT עם מידע מוצפן כזה ופותח אותו ב-NOTEPAD מפעיל את הוירוס ?

בתגובה להודעה מספר 15 שנכתבה על ידי The IceMan שמתחילה ב "ואיך אני שמקבל קובץ TXT עם..."

אייסמן,אינני יודע,אני רק העברתי לכם חלק מהדברים שקראתי עליהם,ושמעתי עליהם ברשת,אינני מומחה לכך,הכל נראה לי שזה פעילות על פי מנגנון אלוגריתמי כלשהו,זה בדיוק כמו השיטה של וירוסי מחשב שיש כיום שפועלים על פי קוד מסויים שהאנטי וירוס שלך לא יאתר אותו ובעת זמן או תאריך פוגע לך במחשב בצורה לא נעימה.

אולי גם זה יתן לך חלקיק מן המידע: http://www.gnu.org/philosophy/can-you-trust.he.html

#17

11-06-2008, 10:57

שימי

מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"

חבר מתאריך: 25.10.01

הודעות: 42,775

בתגובה להודעה מספר 16 שנכתבה על ידי נוסטור שמתחילה ב "[b]אייסמן[/b],אינני יודע,אני..."

הצפנה של מידע בתוך קובץ לא הופך אותו לבר ביצוע, רק לחסוי (אולי, תלוי כמה טוב עשו את זה...)

לדעתי נכון יותר לקרוא לשיטה הזאת החבאה, ולא הצפנה. כי אין כאן צופן מסויים (מפתחות, cypher, וכו', דברים שעליהם מקובל לחשוב שמוזכרת המילה "הצפנה")

_____________________________________

נמאס לכם לזכור סיסמאות? לחצו כאן!

בתגובה להודעה מספר 16 שנכתבה על ידי נוסטור שמתחילה ב "[b]אייסמן[/b],אינני יודע,אני..."

נוסטור - לקרוא זה חשוב אבל להבין מה אתה קורא זה יותר חשוב. הנושא עליו מדובר באשכול הזה הוא היכולת של משתמש זדוני לייצר קובץ PDF שמריץ קוד זדוני על המחשב שלך. פורמט PDF, על פי הציפיה של משתמש תמים, מכיל טקסט, תמונות, מידע על עיצוב וכו'. בעצם, אפשר לומר שמבחינת יכולות, הוא שקול לתצלום או לסריקה. במצב ה"נכון" כשאתה פותח קובץ PDF במחשב שלך, הקוד היחיד שאמור לרוץ הוא הקוד של תוכנת ה-PDF שלך שתקרא את הקובץ ותריץ אותו. הדרך ה"מקובלת" להריץ קוד נוסף במקרים כאלה היא ניצול חולשה בתוכנה שקוראת את קובץ ה-PDF כך שאם בקובץ ה-PDF ישנו מידע "קסום" מסוים, התוכנה שקוראת את הקובץ תיכנס למצב "וודו" ותתחיל להריץ קוד זדוני שמשתמש זדוני שתל שם. אין פה שום הצפנה.

עכשיו שים לב, נוסטור, שאתה דיברת על משהו אחר לחלוטין: היכולת להחביא מידע מסוים בתוך ה"רעש" שיוצר מידע אחר. זה מצוין. אני יכול להחביא בתוך מידע מסוים (שהוא, לדוגמה, קובץ PDF) מידע אחר (שהוא, לדוגמה, קובץ EXE), אבל כדי להוציא אותו משם תידרש התערבות אקטיבית לא-טריוויאלית של המשתמש, שכמו המחבלים שדיברת עליהם יצטרך להוציא את המידע משם. בשום פנים ואופן לא דובר פה על כך שקובץ ה-EXE ירוץ לבד.

#19

11-06-2008, 22:18

יועץ אבטחה יועץ אבטחה אינו מחובר

חבר מתאריך: 23.05.08

הודעות: 74

לא לזרוק שטויות לאוויר

בתגובה להודעה מספר 1 שנכתבה על ידי The IceMan שמתחילה ב "גם קבצי PDF יכולים להכיל קוד זדוני וסוסים טרויאנים"

ניתן להחביא כל קובץ בתוך כל קובץ אחר:

ADS – Alternate Data Stream – טכנולוגיה מבית מיקרוסופט אשר יוצרת במערכת הקבצים NTFS "רווחים" המכילים מידע עבור תאימות אחורה למערכות הפעלה מקינטוש. טכנולוגיה זו מהווה פרצת אבטחה למשל על מנת להחביא Backdoors או כלי פריצה ברווחים האלה. סריקת וירוסים רגילה לא עולה על קבצים מוסתרים אלה.
תחביר הפקודה:

Type [שם הקובץ המוסתר] < [שם הקובץ המסתיר]:[שם הקובץ המוסתר]

הרצת הקובץ:
דוגמא להסתרת קובץ Notepad.exe(פנקס רשימות) בתוך קובץ Calc.exe (מחשבון):

Type notepad.exe > calc.exe:notepad.exe

ביטול ADS:
העתקת קבצים למערכת קבצים שלא תומכת ב ADS (כמו FAT למיניהם) ואז חזרה ל NTFS. קבצים המוסתרים ב ADS לא יעברו חזרה ל NTFS.

אבל גם לפה זה לא קשור :(

בתגובה להודעה מספר 19 שנכתבה על ידי יועץ אבטחה שמתחילה ב "לא לזרוק שטויות לאוויר"

פה מדובר על הרצת קוד, ולא על הסתרת מידע. לא קשור. :\
כשמשחקים עם ADS-ים, יוצרים שתי רשומות מידע פיזיות שמקושרות לאותו "שם קובץ", אבל אין לך שם מידע מסוג אחד שמוחבא בתוך מידע מסוג אחר. להצמיד קובץ טקסט בסוף JPEG שונה מלהוסיף ADS שמכיל טקסט לקובץ JPEG. לא קשור. :\
הפרצוף בכותרת אומר שאני באמת עצוב.

#21

13-06-2008, 01:40

יועץ אבטחה יועץ אבטחה אינו מחובר

חבר מתאריך: 23.05.08

הודעות: 74

אתה יכול להסתיר קוד

בתגובה להודעה מספר 20 שנכתבה על ידי מאבטח שמתחילה ב "אבל גם לפה זה לא קשור :("

ולהרי אותו מקובץ אחר... אין בעיה

#22

13-06-2008, 02:34

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

בתגובה להודעה מספר 21 שנכתבה על ידי יועץ אבטחה שמתחילה ב "אתה יכול להסתיר קוד"

הסבר בבקשה

#23

13-06-2008, 16:46

יועץ אבטחה יועץ אבטחה אינו מחובר

חבר מתאריך: 23.05.08

הודעות: 74

בעזרת ADS

בתגובה להודעה מספר 22 שנכתבה על ידי The IceMan שמתחילה ב "הסבר בבקשה"

ציטוט:

במקור נכתב על ידי The IceMan

הסבר בבקשה

אני יכול לסתיר שורות קוד או כל תוכנה מסויימת ו"לקרוא" לה מתוכנה אחרת... לדוגמא, ניתן "לנצל" את Word שבעזרת קישור לקובץ במחשב הוא יריץ את הקובץ הזדוני...

#24

13-06-2008, 17:40

The IceMan The IceMan אינו מחובר

\dev\null

חבר מתאריך: 08.11.02

הודעות: 11,379

בתגובה להודעה מספר 23 שנכתבה על ידי יועץ אבטחה שמתחילה ב "בעזרת ADS"

אפשר דוגמא ?
צור לי קובץ כזה בבקשה אני רוצה לראות איך זה עובד

ניתן לעשות בשיטת הADS

בתגובה להודעה מספר 23 שנכתבה על ידי יועץ אבטחה שמתחילה ב "בעזרת ADS"

POWER POINT + קובץ זדוני מוסתר ולהכניס בשקופית מסויימת תזמון להרצת הקובץ הזדוני למשל...

בתגובה להודעה מספר 21 שנכתבה על ידי יועץ אבטחה שמתחילה ב "אתה יכול להסתיר קוד"

מה אתה לא מבין?
הכוונה היא שהתוכנה של Adobe היא פותחת את הEXE. זה בעיה בתוכנה עצמה.

_____________________________________

https://www.youtube.com/watch?v=0HRGczvZINQ&noembed

« לאשכול הקודם | לאשכול הבא »

כלי אשכול	חפש באשכול זה
הצג גירסת הדפסה שלח דף זה ב E-Mail	חפש באשכול זה: חיפוש מתקדם
מצבי תצוגה	דרג אשכול זה
עבור למצב לינארי מצב כלאיים עבור למצב משורשר	דרג אשכול זה:

אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים אתה לא יכול להגיב לאשכולות אתה לא יכול לצרף קבצים אתה לא יכול לערוך את ההודעות שלך קוד vB פעיל סמיילים פעיל קוד [IMG] פעיל קוד HTML כבוי

מעבר לפורום

כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 07:32

הדף נוצר ב 0.08 שניות עם 10 שאילתות
צור קשר - Fresh - למעלה