HARD CORE SECURITY LAB

Pliki PDF stanowią obecnie jeden z ulubionych przez komputerowych przestępców nośników wszelkiej maści złośliwych kodów. Od pewnego czasu w rankingach najbardziej dziurawego oraz najopieszalej łatanego oprogramowania przodują produkty firmy Adobe, a komputerowi przestępcy bardzo chętnie tworzą złośliwe pliki PDF zdolne do wykorzystania znanych luk w przeglądarce Adobe Reader. Niedawno mieliśmy również okazję poznać pliki PDF zdolne do wykonania dowolnego kodu w systemie Windows, bez wykorzystania jakiejkolwiek typowej luki w oprogramowaniu. Co najgorsze, programy antywirusowe nie zawsze są w stanie wykryć wszystkie exploity zakamuflowane w tego typu plikach, powstała jednak interesująca usługa online, specjalnie dedykowana analizie potencjalnie niebezpiecznych dokumentów.

Joedoc to uruchomiona zaledwie kilka dni temu darmowa, dostępna dla wszystkich usługa online, której głównym zadaniem jest wykrywanie exploitów obecnych w dokumentach. Na chwilę obecną (usługa znajduje się w fazie testów BETA) obsługiwane są jedynie pliki w formacie PDF oraz exploity dla różnorakich wersji oprogramowania Adobe. Sprawdźmy więc jak Joedoc sprawuje się w praktyce.

Po pierwsze niezbędny będzie jakiś plik PDF zawierający potencjalnie niebezpieczny kod. Oto w jaki sposób możemy wygenerować sobie zbiór zawierający złośliwy payload za pomocą środowiska Metasploit Framework:

Dla wszystkich, którzy nie mają ochoty na zabawę w tworzenie własnych złośliwych plików, przygotowałem gotowy plik do pobrania (uwaga, zbiór ten może być rozpoznawany przez programy wirusowe jako zagrożenie, nie stanowi on jednak żadnego realnego zagrożenia). Joedoc akceptuje pliki PDF umieszczone wewnątrz archiwum ZIP oraz dodatkowo zabezpieczone hasłem infected. Właśnie w taki sposób został przygotowany nasz plik testowy. Tak przygotowane archiwum wystarczy już tylko przesłać na adres poczty e-mail submit@joedoc.org.

Po chwili otrzymamy odpowiedź od automatycznego systemu wykrywania exploitów:

Jak widać, Joedoc rzeczywiście zdołał wykryć zagrożenie obecne w naszym pliku testowym. Szkoda tylko, że otrzymujemy tak niewiele informacji na temat wykrytego zagrożenia, osobiście spodziewałem się bardziej szczegółowego raportu. Z pewnością jednak Joedoc jest kolejną, obok np. VirusTotal, interesującą usługą automatycznego analizowania zagrożeń i w pewnych sytuacjach może się okazać bardzo przydatna. Warto również podkreślić, że twórcy zapowiadają jej dynamiczny rozwój, w tym dodanie obsługi kolejnych formatów plików, z pewnością warto więc śledzić rozwój tego obiecującego narzędzia.