Istraživač za računarsku bezbednost Brandon Dixon otkrio je mogućnost kojom napadači mogu omesti većinu antivirusnih alata pri detekciji zloćudnog sadržaja.
Utvrdio je da je to moguće učiniti enkodiranjem zloćudnih PDF datoteka u XDP format. Reč je o datoteci zasnovanoj na XML formatu koja sačinjava PDF u obliku Base64 enkodiranog data toka.
Iznenađujuća je činjenica kako obično enkodiranje može prevariti antivirusni alat premda je već duže vreme poznato da je relativno lako zaobići detekciju antivirusnog alata. Jednom prilikom je Dixon testirao dokument koji koristi dve godine staru ranjivost u Adobe Reader-u i pri čemu je samo jedan antivirusni paket otkrio zloćudan sadržaj.
Nakon testiranja sa XDP formatom, uspeo je da stvori drugu datoteku koja je prevarila mehanizme detekcije 42 antivirusna alata korišćenih na web sedištu VirusTotal. Na svom blogu je Dixon napomenuo nužnu potrebu izbegavanja XDP datoteka sve dok Adobe ne zakrpi softver ili antivirusne kompanije ne poboljšaju metode detekcije.
Enkodirani zlonamerni PDF-ovi
10:08
nema komentara
Postavi komentar
Vaš komentar: