PDF-ovi su postali sinonim za praktičnost i pouzdanost, bilo da se koriste na poslu, u školi ili za ličnu upotrebu, a njihova upotrebljivost na različitim platformama učinila ih je nezamenljivim. Međutim, oni su i rastuća pretnja koju mnogi zanemaruju.

Avastovi istraživači kažu da sajber kriminalci sve više koriste PDF-ove za distribuciju malvera i vršenje prevara.

Široka upotreba PDF-ova i poverenje koji korisnici imaju u ovaj format, čine PDF fajlove idealnim pokrićem za zlonamerne aktivnosti. Napadači iskorišćavaju poverenje korisnika znajući da je veća verovatnoća da će otvoriti PDF bez zadrške.

I bezbednosni sistemi e-pošte propuštaju PDF priloge, stvarajući lažni osećaj sigurnosti kod korisnika, koji zbog toga ne dovode u pitanje legitimnost PDF priloga, posebno kada se čini da dolaze iz pouzdanih izvora.

hakeri-hakerski-napad-sajber-napad.jpg
Reuters 

Ako se tome doda društveni inženjering, koji sajber kriminalci koriste da bi prevarili ljude da odaju poverljive informacije ili da urade nešto što će ugroziti njihovu bezbednost, napad PDF-om postaje alarmantno efikasna taktika napada koji se oslanja na poverenje, strah i hitnost.

U jednom slučaju su, na primer, istraživači Avasta otkrili PDF obaveštenje o grešci u naplati pretplate za Netflix, koje podstiče žrtve da daju svoje informacije o plaćanju.

Iako su i ovakve prevare dovoljno zabrinjavajuće, ugrađivanje sofisticiranih malvera u PDF-ove je još gore. Malveri poput AgentTesla, DarkGate i RemcosRat mogu na taj način da se infiltriraju u sisteme i da ukradu osetljive informacije, nadgledaju radnje korisnika, pa čak i preuzmu potpunu kontrolu nad inficiranim uređajima.

PDF STRUCTURA:

PDF se sastoji od 4 glavna odeljka: Zaglavlje, Telo, Ksref tabela i Trejler.

  • Header

Jednostavan odeljak koji navodi format PDF datoteke i broj verzije, u našem slučaju 1.7 (znak „%“ u PDF-u označava komentar)

  • Telo

Telo PDF-a sadrži sve objekte koji predstavljaju izgled dokumenta, uključujući slike, fontove, stranice, skriptni kod i još mnogo toga.

  • Tabela unakrsnih referenci (Xref)

Baš kao što ime sugeriše, ovo je tabela unakrsnih referenci – struktura podataka koja sadrži reference (odstupanja) na objekte (slike, itd.) unutar datoteke, omogućavajući PDF čitaču da pronađe bilo koji objekat u bilo kom trenutku bez potrebe da učitate ceo dokument u memoriju i brzo se krećete između stranica.

  • Trejler

PDF čitač će prvo pogledati trejler jer sadrži potrebne informacije za raščlanjivanje cele datoteke. Najvažniji ključevi su pomak prema tabeli unakrsnog referenciranja, broj objekata u datoteci i referenca na kataloški (osnovni) objekat. Objekat kataloga je prvi objekat u hijerarhiji tela i definiše kako se dokument prikazuje (izgled stranice), kako su objekti ocrtani i kako se prikazuje sadržaj.

shutterstock-pdf-3.jpg
Shutterstock 

Uobičajeni vektori napada Slično MS Office dokumentima, PDF datoteke su u širokoj upotrebi već dugi niz godina. Uz svoju popularnost i zbog činjenice da se radi o višeplatformskom formatu, PDF datoteke su veoma privlačne za aktere pretnji i koriste se kao početna tačka zaraze za žrtve.

Od jednostavnog phishing napada do sofisticiranog eksploatacije, PDF može biti naoružan na mnogo načina.

PHISHING ("Pecanje")

Kada je PDF postao popularan format dokumenta, sajber kriminalci su prepoznali priliku da koriste tehnike društvenog inženjeringa za isporuku phishing PDF-ova.

Kao i kod Office dokumenata, prilozi e-pošte postali su primarni način distribucije.

shutterstock-pdf-1.jpg
Shutterstock 

Druge vrste dokumenata, kao što su Office datoteke, godinama su stekle lošu reputaciju jer su se naširoko iskorišćavale korišćenjem različitih ranjivosti i makroa. PDF-ovi su istorijski smatrani bezbednijim formatom i razvili su reputaciju manje opasnih zbog manje objavljenih povreda i stvarnih pretnji koje se vide u divljini.

PDF-ovi za „pecanje“ obično sadrže vezu do spoljne URL adrese koja je dizajnirana da prosledi korisnika na jedno od ovih:

  • Pecanje“ – (može biti lažno bankarstvo, sajt za upoznavanje ili druga stranica za e-trgovinu) koja podstiče žrtve da unesu svoje lične podatke koji se šalju napadaču.
  • Sistemi za usmeravanje saobraćaja (TDS) – ovi sistemi su veb-bazirani gejtvej dizajnirani da analiziraju mašinu korisnika kako bi prikupili sistemske podatke kao što su OS, geo-lokacija, jezik i još mnogo toga. Koristeći TDS, napadač može da preusmeri žrtvu na različite reklamne veb stranice ili čak na stranicu za infekciju malverom.
  • Web-sajt za infekciju zlonamernim softverom – ovi sajtovi obično sadrže kod koji preuzima zlonamernu datoteku na mašinu žrtve.

Ove metode su prilično jednostavne i ne zahtevaju veoma sofisticirani napadač da ih sprovede.

Uobičajeni trend poslednjih godina – captcha slika sa ugrađenim URL-om koja preusmerava žrtvu na veb lokaciju za krađu identiteta ili neželjenu reklamu.

AKCIJE I JAVASCRIPT

Većina korisnika PDF-a je svesna i koristi mogućnosti za uređivanje PDF-a. U stvari, za mnoge, ovo može biti stepen u kojem koriste PDF-ove. Ali postoji i funkcija pod nazivom „Radnje“ koja se može koristiti za obavljanje raznih zadataka, uključujući sledeće:

  • Otvorite veb vezu
  • Otvorite datoteku
  • Pokrenite JavaScript kod
  • Pošaljite obrazac
  • … i druge radnje
shutterstock-javascript.jpg
Shutterstock 

Ove radnje pokreću „Događaji“. Uobičajeni primeri takvih „događaja“ mogu uključivati čuvanje ili zatvaranje PDF-a, klikanje mišem i tako dalje. Korisnik može da kreira dokument koji će, kada se zatvori, otvoriti veb stranicu sa određenom lokacijom.

Neke od radnji i okidača (triggers) koji se mogu kreirati pomoću Adobe Acrobat-a:

  • SubmitForm – ova radnja omogućava slanje informacija putem interaktivnog šablona obrasca na unapred definisanu udaljenu lokaciju, koristeći AcroForms ili noviju KSML Forms Architecture (KSFA)[ii] kompanije Adobe.
  • JavaScript – ako ga PDF čitač u potpunosti podržava, JavaScript se može koristiti za pristup i manipulisanje bilo kojim delom dokumenta. Takođe je korišćen za iskorišćavanje različitih ranjivosti PDF čitača.
  • URL – žrtve se mogu prevariti različitim metodama društvenog inženjeringa da prate ugrađene URL adrese u pokušaju da odbace malver, počine phishing ili jednostavno nateraju žrtve da posećuju sajtove sa neželjenim oglasima.
shutterstock-adobe-acrobat.jpg
Shutterstock 

Ova vrsta običnog napada, kao i kod phishing prevara koje smo ranije videli, može uticati na većinu čitača PDF-a i pretraživača. Ovi napadi se po dizajnu oslanjaju na ugrađene funkcije čitača i uvek će funkcionisati, ako to korisnici dozvole, za razliku od iskorišćavanja ranjivosti pronađenih u PDF čitačima.

Radnja koja imitira Amazon obrazac i zlonamerni kod iza njega.

Pored phishing-a, JavaScript se može koristiti za slanje informacija o popunjenim obrascima, kao i za obavljanje moćnih radnji kao što je izdavanje PoverShell komandi ili ispuštanje zlonamerne datoteke.

Primeri iskačućih poruka koje upozoravaju korisnika na skriveni JavaScript sadržaj.

JavaScript se može koristiti za eksfiltriranje podataka i/ili pokretanje zlonamernog koda na mašini korisnika, ali je takođe dovoljno moćan da iskoristi potencijalne ranjivosti koje se nalaze u PDF čitačima.

Kako se zaštititi od napada u kojima se koristi PDF?

Najbolja odbrana od sajber pretnji je kombinacija znanja i opreza. Evo nekoliko saveta istraživača Avasta:

  • Edukujte se o taktikama koje koriste sajber kriminalci da biste bili korak ispred njih
  • Budite oprezni sa sumnjivim PDF-ovima
  • Uvek proverite poreklo dokumenta pre nego što ga otvorite, posebno ako se traže lični ili finansijski podaci
  • Tretirajte sajber bezbednost kao kontinuiranu praksu, a ne samo kao jednokratnu meru

Izvor: Informacija/Kurir/Darko Mulic