Bên trong cuộc tấn công PDF độc hại
Xét về khía cạnh chung thì PDF là an toàn nhưng do nó chứa đựng nhiều tính năng khiến cho những tin tặc lợi dụng để ẩn dấu bên trong những cuộc tấn công độc hại .
Bằng một số công cụ chúng ta có thể xem xét những kỹ thuật trong những file PDF độc hại , cung cấp một cái nhìn tổng quát để có thể bảo vệ hệ thống máy tính an toàn hơn .
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh1.JPG")
File PDF ở dạng Text
Mở file PDF trong những chương trình soạn thảo văn bản có thể thấy một số thành phần được mã hóa . Vòng tròn đầu tiên , object 11 , là lệnh thực thi Javascript trong object 12 . Vòng tròn thứ hai và thứ ba là lệnh cho object 12 để lọc Javascript với AsciiHexDecode . Mục đích chính của phép lọc này là để dấu mã độc hại bên trong PDF và tránh sự phát hiện của các phần mềm chống virus . Đó chính là điều chúng ta cần lưu ý đầu tiên
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh2.JPG")
Giải mã dạng Hex
Tiếp theo chúng ta mở mã này bằng chương trình soạn thảo để hiểu rõ mục đích
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh3.JPG")
Mở mã ở dạng text , vòng tròn cho thấy đó là Javascript và chúng ta cần xem xét nó sẽ làm việc như thế nào
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh4.JPG")
Phân tích Javascript bằng Malzilla
Bằng cách dùng tiện ích Malzilla , chúng ta có thể phân tích Javascript . Chúng ta đưa vào Javascript trong hộp trên cùng và giải mã nó bằng vòng tròn . Trong vòng tròn thứ hai cho thấy Javascript chứa nhân của mã hoạt động ( Shellcode )
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh5.JPG")
Khi xem xét kỹ hơn mã hoạt động này cho thấy cách khai thác lỗ hổng và vẫn tránh bị các chương trình chống virus phát hiện
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh6.JPG")
Khi chạy tiện ích này nó chuyển đổi Shellcode thành dạng file .exe và chúng ta xem xét tính năng của file này
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh7.JPG")
Khi dùng tiện ích IDA để xem xét lệnh và chạy Debug của file .exe . Chúng ta thấy file này chứa nhiều lệnh NOP được dùng trong cuộc tấn công Shellcode .
Chúng ta chuyển xem dạng nhị phân
![\"\"](\"http://tuvantinhoc1088.com/media/images/Security/Malware_PDF/hinh8.JPG")
Một vòng tròn cho thấy URLDownloadToFileA , hàm API Windows để tải file trên máy chủ từ xa và lưu nó tới máy nạn nhân .
Trong file PDF nhiễm độc này , Shellcode đã tải file độc hại từ một địa chỉ IP cụ thể , bạn không nên truy cập tới địa chỉ IP này , và ngay khi file lây nhiễm tải về Shellcode sẽ chạy nó ngay lập tức và máy tính đã bị lây nhiễm .
Những tin tặc đã rất thông minh khi nhúng file .exe trong Shellcode , mã hóa và ẩn dấu trong đó trong Javascript bên trong File PDF độc hại .
![\"\"](\"http://tuvantinhoc1088.com/media/images/Quangcao/Bao%20tri%20may%20tinh%20chuyen%20nghiep.JPG")
