Qual è la pratica standard del settore per il salvataggio di un PDF potenzialmente (probabile) dannoso per l'analisi?

Naviga le tue risposte
3

Ho ricevuto un'email con un PDF allegato che ha molti segni di essere un allegato dannoso. Mancando il tempo e le risorse per analizzarlo al momento, mi piacerebbe memorizzarlo per un uso successivo, e possibilmente condividerlo con un altro ricercatore. Qual è il processo consigliato per archiviare questo allegato potenzialmente dannoso, dato che almeno un client di posta elettronica che uso può visualizzare in anteprima gli allegati prima di fare clic su di essi attivamente?

Devo usare un client webmail e scaricare il file, quindi comprimerlo immediatamente? Devo GPG o crittografare il file in un altro modo, per impedire al file system di attivare alcuni payload auto-aperti? Dovrei creare una VM con le mie credenziali caricate (sembra una cattiva idea, se la VM dovesse essere compromessa) per un client di posta, e scaricare il file lì?

Questo è diverso da questa domanda , poiché sto cercando di archiviare (e trasferire) questi PDF potenzialmente dannosi.

Se è importante, sto considerando di utilizzare PDF Tools di Didier Stevens per analisi successive.

    
posta user3.1415927 03.09.2018 - 05:00
fonte

1 risposta

2

Non scaricarlo su una macchina normale, poiché vari servizi potrebbero provare ad accedervi per indicizzazione o per l'anteprima, che può essere sfruttabile. Ma a prescindere da quanto ti aspetti che il PDF dannoso sia avanzato? Chi è il tuo avversario? La risposta a questo determinerà se la risposta è o meno solo per copiarlo con il tuo AV abilitato, o se hai bisogno di farlo su una macchina di prova airgapped dedicata.

Lo spionaggio aziendale è spesso paragonabile agli stati nazionali in termini di rischi. Se sei un'azienda di grandi dimensioni o in un'azienda ad alto rischio, prendi in considerazione l'idea di ottenere un team di sicurezza dedicato in grado di gestirlo. In caso di dubbio, utilizzare un sistema airgapped per l'analisi. Il sistema operativo di Qubes utilizza la virtualizzazione per l'isolamento, creando una nuova macchina virtuale per ogni applicazione quando necessario. Anche se fa affidamento su Xen e su Xen 0day, potrebbe facilmente staccarsi dalle singole VM, può essere abbastanza sicuro se usato su una macchina con aria compressa.

I parser PDF sono infamemente insicuri, quindi tieni presente che non sarà difficile per un utente malintenzionato di livello di abilità anche moderato riuscire a eseguire codice arbitrario quando viene aperto il PDF.

    
risposta data 03.09.2018 - 06:09
fonte

Leggi altre domande sui tag

Router - c'è qualcosa da "cancellare" prima di vendere L'incorporamento delle immagini in PDF conserva i metadati?