Nieuws
image

Adobe PDF malware omzeilt virusscanners

woensdag 3 juni 2009, 11:16 door Redactie, 5 reacties

PDF bestanden die misbruik maken van beveiligingslekken in Adobe Reader zijn op dit moment de "nieuwe rage" onder virusschrijvers en door de code te obfusceren, geven ze virusscanners het nakijken. Volgens Paul Henry van Lumension is er sprake van wapenwedloop tussen malware auteurs en anti-virusbedrijven en dan met name de partijen die op signatures gebaseerde oplossingen gebruiken. "Simpel gezegd, door het obfusceren van de onderliggende malware, kunnen ze eenvoudig kwaadaardige PDF bestanden langs op signatures gebaseerde virusscanners laten glippen."

Zodra anti-virusbedrijven een nieuwe signature uitbrengen, hoeven de criminelen alleen de obfuscatie methode iets aan te passen. Henry besloot zo'n PDF bestand via VirusTotal te testen en ontdekte dat slechts 8 van de 40 scanners het bestand als kwaadaardig detecteerde. Het resultaat laat volgens hem zien dat op signatures-gebaseerde virusscanners overbodig zijn geworden. "Het toegenomen gebruik van obfuscatie door cybercriminelen, laat zien dat we de wapenwedloop op dit gebied gewoon niet van ze kunnen winnen. De beste oplossing is het patchen van de onderliggende beveiligingslekken." Daarnaast is het verstandig om whitelisting toe te passen. Dat moet voorkomen dat ongewenste applicaties zich op het systeem uitvoeren, waardoor infecties worden tegengegaan.

Snufje paranoia
Ook beveiligingsbedrijf Websense waarschuwt dat virusschrijvers steeds vaker obfusctie toepassen. "Deze veranderingen voorkomen dat de PDF parsers die virusscanners gebruiken, de kwaadaardige code kunnen identificeren. Veel anti-virus engines kunnen dit soort obfuscatie niet decoderen, omdat ze alleen de standaard formaten ondersteunen en een abnormale object header niet herkennen." Pete van Sophos besluit dat runtime technologie een belangrijke rol bij de detectie van dit soort malware kan spelen, maar dat de verantwoordelijkheid nog steeds bij gebruikers ligt. "Eindgebruikers moeten op het internet waakzaam en behoudend zijn, hun opvatting van een snufje paranoia en scepsis toepassen om zo niet besmet te raken."

Reacties (5)
03-06-2009, 13:28 door Preddie
Niet alleen met PDF bestanden omzeil je die schijnveiligheidssoftware maar ook andere type bestanden kunnen veelal zonder de detectie op een systeem geplaatst worden na een kleine aanpassing in de HEX.
03-06-2009, 16:08 door Didier Stevens
Bijna alle PDF malware die ik in "the wild" zie bevat shellcode die het volgende doet:

- downloaden executable via HTTP
- wegschrijven executable in SYSTEM32 directory
- uitvoeren weggeschreven executable
03-06-2009, 16:48 door SirDice
Er was ooit een tijd dat PDF's veilig waren....

Welke eikel heeft eigenlijk bedacht dat het wel handig zou zijn om actieve content in PDF te stoppen?
03-06-2009, 17:00 door Anoniem
Dezelfde eikel die vergeten is waarom pdf destijds ooit ontworpen was: namelijk om precies ditzelfde soort veiligheidsgaten in Postscript op te lossen.
08-06-2009, 11:21 door Anoniem
Obfusceren??
Allemachtig.
Mag dat niet in het Nederlands?
Ton Smit, Amsterdam
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure