Rimozione di malware da un file PDF dannoso [duplicato]

Naviga le tue risposte
2

Ho analizzato un PDF di grandi dimensioni utilizzando lo strumento pdfid di Didier Steven. Ottengo il seguente risultato:

Ora che so che ci sono contenuti dannosi nel PDF, cosa posso fare per rimuoverlo? Mi piacerebbe comunque vedere il contenuto del PDF. Purtroppo, non sono sicuro della mia capacità di rimuovere tutti i contenuti dannosi con strumenti tecnici come i parser PDF. Sto cercando un altro metodo in cui la mia mancanza di esperienza non sarà una grande responsabilità.

Ecco alcune delle mie idee:

  • Carica il documento su Google Documenti. Presumo che Google abbia uno dei visualizzatori PDF più sicuri là fuori.
  • Apri il PDF in un ambiente virtuale e in qualche modo salva il PDF pagina per pagina. Nel peggiore dei casi, potrei scrivere una sceneggiatura per stampare ogni schermata e creare un nuovo PDF pieno di immagini.
  • Utilizza pdf.js di Firefox o qualche altro visualizzatore basato sul browser

Un'altra domanda che ho: quanto è affidabile lo strumento pdfid? Ad esempio, se ottengo un risultato senza Javascript, OpenAction, ecc. Posso essere sicuro che sia sicuro?

    
posta Mike 04.09.2015 - 21:17
fonte

2 risposte

3

Dato che non c'è assolutamente modo di dire cosa c'è dentro quel file e di cosa è capace, ti consiglio di tagliare le tue perdite e metterlo a tacere fin dall'inizio. Con la maggior parte dei PDF (e, infatti, qualsiasi file) è possibile recuperare in tempi relativamente brevi poiché il PDF è destinato a risiedere altrove (una bozza precedente o una versione non modificata).

Detto questo, sembri molto desideroso di aprire questo PDF, quindi presumo che abbia una sorta di unicità. Dovrai perdonarmi per aver messo il mio cappello da lavoro diurno, ma di solito questo significa che un utente non ha salvato o fatto il backup dei propri documenti quando avrebbero dovuto. Se questo non è il caso, e questo è veramente il rotolo del Mar Morto del mondo PDF, vediamo come possiamo aprire / pulire questi file senza danneggiarli o, davvero, da soli.

Utilizzo di un browser per ripristinare il PDF

Hai sollevato l'apertura in un browser più volte:

"Upload the document to Google Docs. I assume that Google has one of the most secure PDF viewers out there."

e

"Use Firefox's pdf.js or some other browser-based viewer"

Come ho detto all'inizio, non abbiamo idea di cosa abbiamo a che fare al momento. L'apertura di un browser (in questa fase) non sarebbe raccomandata. Anche caricarlo su Google è un po 'non etico dal momento che lo conosci bene che c'è qualcosa di sospetto in corso con il PDF.

Anche se tu fossi in qualche modo in grado di sapere esattamente di cosa sia capace il contenuto dannoso di quel file PDF, non c'è modo di assicurarti che non sia stato manomesso per mascherarlo.

Utilizzo di una macchina virtuale / macchina isolata per recuperare il PDF

L'hai toccato nella metà della tua domanda , utilizzando una VM o una macchina isolata è ovviamente un modo molto più sicuro di aprire quel PDF.

Ora potresti pensare che è un sacco di tempo da dedicare a una di queste attività, ma se si mantiene un'istantanea di sistemi piccoli, puliti, portatili, scattati subito dopo l'installazione, possiamo quasi tranquillamente aprire il PDF, stampare il contenuto del file (come @KnightOfNi ha già alluso) senza le funzionalità di modifica del PDF. Perché non fare un ulteriore passo avanti e stamparli effettivamente su un circuito chiuso con una stampante USB e rieseguire la scansione? Potrebbe sembrare una seccatura enorme, ma abbiamo a che fare con una bomba a tempo di portata sconosciuta. Potrebbe distruggere il tuo sistema, rubare i tuoi dati, criptare i tuoi oggetti o semplicemente essere un limone - il punto è che non ne abbiamo idea.

"Posso essere sicuro che sia sicuro?"

Dalla tua domanda:

Another question I have: How reliable is the pdfid tool? For example, if I get a result with no Javascript, OpenAction, etc. can I be sure that it is safe?

Di nuovo, non proprio - ma ci sono modi in cui puoi testare per vedere quanto è accurato lo strumento.

  • Se si tratta di Open Source, fai una ricerca nel codice e assicurati che non stia sputando fuori qualsiasi vecchia spazzatura e sfiorando a malapena i file.
  • In quel laboratorio di macchine virtuali / isolate, perché non lanciare alcuni file buoni / cattivi / brutti che sono noti per essere infettati da un certo ceppo di malware? Puoi eseguire il rollover oppure contattare la community di ricercatori che di solito hanno alcuni esempi per il download online.

Per essere onesti, tutto dipende da quanto vuoi recuperare quel PDF. Per la maggior parte delle persone è molto più fastidioso di quanto non valga ... ma poi di nuovo, ciò dipende dai contenuti.

Che cosa farei:

  • Macchina virtuale isolata su una macchina fisica isolata (sembra un eccesso, ma è così che ho provato la prima esperienza mia con CryptoLocker - felice di averlo fatto in quel modo).
  • Ciò significa nessuna condivisione di file (ad esempio, condividere desktop - > desktop su VM)
  • Vai per un sistema operativo dispari. L'odio, meglio è. La maggior parte di questi virus PDF si rivolge a utenti specifici di versioni specifiche di un sistema operativo. Dubito che abbiano pensato a Kali, TAILS o simili
  • Disattiva plug-in / elimina eventuali aree o app di interesse conosciute (flash, ecc.)
  • Apri un PDF di prova e imposta tutte le impostazioni di sicurezza al massimo prima di aprire il documento di destinazione
  • Apri il documento di destinazione, stampalo fisicamente, esegui di nuovo la scansione.
risposta data 04.09.2015 - 22:22
fonte
1

L'output pdfid che hai pubblicato non indica contenuti dannosi di per sé.

Anch'io sarei sospettoso ... e ... guarda un po 'più a fondo prima di dire che sono brutte notizie.

Guarda dentro? Personalmente, per prima cosa lo aprivo con un editor di testo e dare un'occhiata veloce a quel copione ... guarda cosa proverebbe a fare ... ma poi di nuovo, sono un ricercatore quindi sono curioso di cuore.

Scansionalo? Puoi semplicemente caricare il PDF su virustotal.com e verrà controllato simultaneamente da un gruppo di scanner di malware. Se si presenta come dannoso, allora saprai per certo che dovresti fare il percorso VM più cauto. Se appare pulito, allora hey, forse lo è davvero. O forse l'aggressore è davvero bravo a nascondere il loro intento tra quegli ObjStms. La sola presenza di javascript non significa che sia dannoso.
link

Disabilita JS? Probabilmente sei preoccupato per JavaScript, giusto? La maggior parte dei lettori di PDF è in grado di accedere a proprietà / impostazioni / opzioni / preferenze e selezionare una casella per la lettura sicura o deselezionare una casella per l'esecuzione di JavaScript.
link

O rimboccati le maniche e accendi la tua VM In conclusione, diciamo che la tua paranoia è azzeccata, e il file è davvero una cattiva notizia - Sono d'accordo con te che l'apertura in una sessione di macchine monouso sarà un modo più sicuro per accedere a un file potenzialmente dannoso. E se scegli di seguire questa strada, ricorda di avviare uno sniffer come wireshark prima di aprire il PDF; in questo modo puoi vedere qualunque cosa cerchi di fare, semmai.

    
risposta data 04.09.2015 - 23:30
fonte

Leggi altre domande sui tag

Domanda su MAC (codice di autenticazione del messaggio)? Crittografia AES tra Java e Ruby: qual è la modalità predefinita e il riempimento per AES in Java?