Caricamento file PDF dannoso

3

Ho un server web per i miei clienti per caricare i loro file PDF. Ho anche un IDS / IPS con licenza Anti-Malware che si trova tra l'utente e il server Web e blocca il caricamento di file PDF dannosi. Il problema è che nel caso in cui rilevi un file pdf che non lo ha più visto (cioè il suo SHA), consente di caricarlo e quindi inviarlo per l'analisi in un ambiente cloud dedicato sandboxed. Ma dal momento che consente al file che sto cercando di "bloccare" i file PDF contenenti Javascript o file incorporati utilizzando uno snippet di codice in esecuzione sul server web. C'è qualcos'altro che dovrei considerare di bloccare oltre a questo?

    
posta fargo01 30.10.2018 - 12:55
fonte

2 risposte

4

Eseguili attraverso un convertitore in formato PDF / A .

Vieta qualsiasi tipo di contenuto attivo.

Se non verranno convertiti, trasferirli.

IDS/IPS with Anti-Malware license

La scansione è una battaglia persa. Non importa cosa lo scanner sappia cercare, ci sarà sempre qualcosa di nuovo che non saprà cercare.

dedicated sandboxed cloud environment

È utile per il malware generico, ma non è utile per malware mirati che eseguiranno il suo payload solo in condizioni che esistono solo al suo target.

Se vuoi assicurarti che il file non faccia nulla di male all'avvio, assicurati che non contenga nulla di eseguibile. A tale scopo, esegui da solo la conversione in PDF / A non eseguibile. Questo crea un nuovo file PDF pulito che per definizione non è infetto perché è stato creato.

    
risposta data 30.10.2018 - 16:52
fonte
3

È quasi impossibile impedire il caricamento di file PDF dannosi poiché uno script deve essere in grado di rilevare il contenuto dannoso. Qualcuno potrebbe comprimere e crittografare un virus che può essere salvato in un PDF che non sarebbe rilevabile da nessuna analisi senza la chiave di decodifica. Una suite di programmi anti virus / trojan (ad es. Malwarebytes) deve essere eseguita sul server per mettere in quarantena (compresa l'eliminazione) qualsiasi file infetto trovato in modo che non possa causare alcun danno dopo il caricamento. Puoi bloccare tutti i caricamenti per assicurarti che i contenuti dannosi non vengano trasmessi.

I file PDF dannosi vengono generalmente utilizzati per individuare le vulnerabilità in un PDF Viewer (o altri programmi di apertura di file popolari), quindi sarebbe opportuno assicurarsi che nessun Visualizzatore PDF o altre applicazioni solo client come Applicazioni Adobe, Applicazioni Microsoft Office (che sono spesso presi di mira da exploit zero day) sono installati sul server di upload. Tutti i browser sul server devono essere bloccati il più possibile (i file PDF possono essere visualizzati in alcuni browser, se configurati per farlo, probabilmente attivando un carico utile trappolato) e assicurarsi che nessun programma JavaScript come NodeJS sia in uso.

    
risposta data 30.10.2018 - 14:09
fonte

Leggi altre domande sui tag