Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:maliciozni_javascript_u_pdf_dokumentima [2023/01/12 18:04]
db51613 [JavaScript napadi na PDF] 		racfor_wiki:seminari:maliciozni_javascript_u_pdf_dokumentima [2024/12/05 12:24] (trenutno)
Redak 17: Redak 17:
  
  
-===== Detekcija maliciozog JavaScripta =====+===== Detekcija malicioznog JavaScripta =====
 Kako bi započeli priču oko detekcije malicioznog JavaScript koda moramo prvo pogledati strukturu pdf formata datoteke: Kako bi započeli priču oko detekcije malicioznog JavaScript koda moramo prvo pogledati strukturu pdf formata datoteke:
  
Redak 24: Redak 24:
 Kao što se vidi na slici pdf se sastoji od: Kao što se vidi na slici pdf se sastoji od:
  
-headera-sadrži verziju pdf-a +header - sadrži verziju pdf-a 
-object- jedan ili vioe objekata obično sadže informacije koje su potrebne za renderiranje dokumenata +object - jedan ili više objekata obično sadrže informacije koje su potrebne za renderiranje dokumenata 
-xref-sadrži offset vrijednosti za razne elemente pdf-a +xref - sadrži offset vrijednosti za razne elemente pdf-a 
-trailer-zadrži metapodatke +trailer - sadrži metapodatke 
-end of file-označava kraj dokumenta.+end of file - označava kraj dokumenta.
  
-Sada kako bi započeli analizu za početak možemo otvorit pdf u nekom plain text editoru gdje ćemo dobiti sljedeće:+Kako bi započeli analizu tako za početak možemo otvoriti pdf u nekom plain text editoru gdje ćemo dobiti slijedeće:
  
 {{:racfor_wiki:seminari:pdfinplain.jpg?400|}} {{:racfor_wiki:seminari:pdfinplain.jpg?400|}}
  
-U ovom zapisu vidmo header, vidmo da ovaj pdf sadrži 2 objekta označeni sa +U ovom zapisu vidimo header, vidimo da ovaj pdf sadrži 2 objekta koji su označeni sa 
 <code> 1 0 obj  <code> 1 0 obj 
  2 0 obj </code>  2 0 obj </code>
  
-Nakon toga je bitno uočiti kad pogledamo objekt 2 vidimo sljedece:+Bitno je uočiti da kad pogledamo objekt 2 vidimo slijedeci isječak:
 <code> << <code> <<
 /S/JavaScript /S/JavaScript
Redak 44: Redak 44:
 >> >>
 </code> </code>
-taj dio nam govori da je nečitki niz iznad objekta zapravo javascript kod. U ovakvom obliku jasno nemožemo shvatiti koja je svrha tog JavaScript kod te možemo primjeniti neku od postoječih python skripti kako bi dobili čitku verziju JavaScript koda te kopiranjem toga u neki IDE mpžemo jasno pročitati čeemu taj kod služi. U našem slučaju dobiva se sljedeće:+ 
 +Taj dio nam govori da je nečitki niz iznad objekta zapravo javascript kod. U ovakvom obliku jasno ne možemo shvatiti koja je svrha tog JavaScript koda te možemo primijeniti neku od postojećih python skripti kako bi dobili čitku verziju JavaScript koda. Kopiranjem toga u neki IDE možemo jasno pročitati čemu taj kod služi. U našem slučaju dobit ćemo slijedeće:
  
 {{:racfor_wiki:seminari:pdfcleen.jpg?400|}} {{:racfor_wiki:seminari:pdfcleen.jpg?400|}}
  
-Sada iz ovog koda možemo vidjeti da tu postoji jedna potencijalno zabrinjavajuća stvar, a to je da ovaj kod kontatira domenu readnotify.com što znči da daje potencijalnom napadaču informacije o korisniku. Naravno ovo je samo jedan banalan primjer te se maliciozni kod može i malo bolje sakriti no postoje i razni alati koji mogu pomoći u takvim sitacijamakao npr. VirusTotal,LogRhythm Netmon, itd.+Sada iz ovog koda možemo vidjeti da tu postoji jedna potencijalno zabrinjavajuća stvar, a to je da ovaj kod kontaktira domenu readnotify.com što znači da napadaču vjerojatno dostavlja informacije o korisniku. Naravnoovo je samo jedan banalan primjer te se maliciozni kod može i malo bolje sakriti. Postoje i razni alati koji mogu pomoći u takvim situacijama kao npr. VirusTotal, LogRhythm Netmon, itd.
  
  
  
 ===== Potencijalna zaštita ===== ===== Potencijalna zaštita =====
-Mogučnosti napada korištenjem JavaScripta ograničene su kojim čitačem pdf-a se koristimo kao i njegovom verzijom, no neki generalni načini prevencije napada su:  +Mogućnosti napada korištenjem JavaScripta ograničene su vrstom čitačpdf-a kojim se koristimo kao i njegovom verzijom, no neki generalni načini prevencije napada su:  
-Stički- korištenjem potpisa,uzoraka,struktura i strojog učenja +Statički - korištenjem potpisa, uzoraka, struktura i strojnog učenja, 
-Dinamički -detekcija tokom izvođenja u virtualnom okruženju, zaštita tokom izvođenja+Dinamički - detekcija tijekom izvođenja u virtualnom okruženju, zaštita tijekom izvođenja
  
-Iako večina navedenih načina mogu otkriti maliciozni kod postoji mogučnost da se to ne dogodipa je zapravo jedini pravi način da se osiguramo od takvih napada onemogučavanje izvršavanja JavaScripta kod otvaranja pdf-a.+Iako većina navedenih načina mogu otkriti maliciozni kod postoji mogućnost da se to ne dogodi pa je zapravo jedini pravi način da se osiguramo od takvih napada onemogućavanje izvršavanja JavaScripta kod otvaranja pdf-a.
  
  
Redak 66: Redak 67:
 ===== Zaključak ===== ===== Zaključak =====
  
-Pdf kao format je najpopularniji format datoteke te ga večina ljudi smatra sigurnim za korištenje te je zbog toga izuzetno dobro za napadača koristiti baš taj format kako bi ostvario neki napad na žrtvu. Kada preuzimamo neku pdf datoteko trebali bi pripaziti prije njenoga otvaranja kako baš mi nebismo postali žrtva napada. Postoje metode provjere i detekcije malicioznih pdf datoteka te bi bilo dobro za sumnjive datoteke provesti analizu ili ako već nismo sigurni kako ih provjeriti barem onemogučiti izvođenje JavaScripta u našem pdf čitaču. +Pdf kao format je najpopularniji format datoteke te ga većina ljudi smatra sigurnim za korištenje. Zbog te činjenice je za napadača izuzetno učinkovito koristiti baš taj format kako bi ostvario neki napad na žrtvu. Kada preuzimamo neku pdf datoteku trebali bi pripaziti prije njenog otvaranja kako baš mi ne bismo postali žrtva napada. Postoje metode provjere i detekcije malicioznih pdf datoteka te bi bilo dobro za sumnjive datoteke provesti analizu nekim od gore opisanih postupaka iliako već nismo sigurni kako ih provjeritibarem onemogućiti izvođenje JavaScripta u našem pdf čitaču. 
 ===== Literatura ===== ===== Literatura =====
  
 +[1][[https://www.sentinelone.com/blog/malicious-pdfs-revealing-techniques-behind-attacks/]]
 +
 +[2][[https://www.intezer.com/blog/incident-response/analyze-malicious-pdf-files/]]
 +
 +[3][[https://logrhythm.com/blog/detecting-malicious-javascript-in-a-pdf/]]
 +
 +[4][[https://pdf-insecurity.org/pdf-dangerous-paths/attacks.html]]
 +
 +[5][[https://labs.oracle.com/pls/apex/f?p=LABS:0:104194602404452:APPLICATION_PROCESS=GETDOC_INLINE:::DOC_ID:1072]]
 +
 +Prezentacija:
 +https://ferhr-my.sharepoint.com/:p:/g/personal/db51613_fer_hr/EVUeBPOtlspEpPt_yI4fVm0B72ltBQOT4ouGFz-2dJtPtQ?e=WNKuHw
  
racfor_wiki/seminari/maliciozni_javascript_u_pdf_dokumentima.1673546693.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0