Informacije su u današnjem svijetu najvrjednija i najvažnija stvar, a većinu korisnih informacija čitamo upravo u PDF dokumentima. Bilo da se radi o istraživanjima za seminar, čitanju recepata ili nečem trećem, prijenosni format dokumenta, engl. „Portable Document Format“ ili kraće PDF, je najčešći oblik dokumenta kojeg ljudi koriste. Upravo iz razloga njegove široke primjene, ljudi se opuste te zaborave na moguće napade iz naizgled bezopasnih datoteka. Zlonamjeran softver se u PDF može ugraditi na nekoliko načina, i svaki povlači svoju vrstu napada (napadi pomoću JavaScript-a, naredbenog retka i skrivenim objektima). Čitač PDF-a je prva linija obrane od virusa, te je važno odabrati siguran i pouzdan čitač i preglednik. Detekcija zlonamjernog softvera prvi je korak pri zaštiti od istih, a ona se provodi na tri načina, statički, dinamički i hardverski. Također je jako važno biti oprezan s datotekama iz nepouzdanih izvora te s njima treba postupati s velikom dozom sumnje u zlonamjeran softver.
Većina ljudi današnjice smatra PDF dokumente sigurnima, te ih otvaraju bez sumnje u moguće zloćudne programe skrivene u njima. Nažalost, realnost je potpuno drugačija. PDF-ovi mogu sadržavati zlonamjeran kod u sebi, te tako naštetiti i probiti sigurnost okruženju u kojem je otvoren. Povrh svega, najčešći email prilog je upravo PDF dokument, te većina email preglednika nije sposobna razlučiti one zle namjere.
Prije objašnjenja o infekciji PDF-a i njegovom procesu napada treba se objasniti sami PDF. „Portable Document Format“, ili kraće PDF, najčešći je prilog email-u, te je njegova primjena svakodnevna većini ljudi današnjice. PDF se sastoji od statičkih elemenata (tekst i slike), dinamičkih elemenata (forme) i ugrađenih potpisa. Iako su ova tri elementa osnova svakog PDF-a, u njima se krije i slabost istih. Naime, u gore navedene elemente može se ubaciti zlonamjeran softver koji izvodi napad na računalo. Napretkom tehnologije čitača i preglednika PDF-a napreduju i virusi, te su i oni sve više i dublje skriveni u PDF-ovima. Još jedan od oblika infekcija PDF-a je umetanje zlonamjernih hyperlinkova koji vode na sumnjive stranice.
Postoje razne metode izvođenja napada zlonamjernim PDF-om:
• Javascipt – Javascript(JS) se koristi u web preglednicima za funkcioniranje istih. Napad preko JS se izvodi u dvije faze. U prvoj fazi pri otvaranju PDF-a pokreće se JS kod koji je ugrađen u PDF-u. JS postavlja ROP (povratno orijentirano programiranje) lanac koji vodi do izvođenja „shellcode“-a (program koji svojim pokretanjem daje pristup napadaču). Druga faza sastoji se od zaobilaženja čitača PDF-a.
• Naredbeni redak – otvaranjem PDF-a se omogućuje pokretanje specijalnih komandi na operacijskom sustavu ukoliko bi korisnik dao pristup u prozoru koji iskoči. Navedena metoda je u većini PDF čitača onemogućena, no u starijim verzijama istih nisu.
• Skriveni objekti – ugrađeni (embedded) programi su skriveni u PDF-u, te ih pokreće čitač pri otvaranju datoteke.
Osim gore navedenih napada, postoje i druge metode poput metode trojanskog konja, gdje se u PDF dodaju multimedijalne datoteke koje su korumpirane. Također, mogući su napadi koje žrtva sama izvede na način da uđe na hyperlink u PDF-u, ili da preuzme korisne datoteke koje su zapravo virusi. Do ovakvih napada dolazi jer PDF predstavlja veći stupanj povjerenja od internetskih stranica, pa su neoprezni ljudi najčešće žrtve ovakvog oblika napda.
Za detekciju virusa u PDF-u postoje razni antivirusni programi. Većina radi na principu da traže poznate uzorke zlonamjernog softvera, no takav se pristup jednostavno zaobiđe. Tri su glavne vrste dubljeg traženja i detektiranja virusa:
• Statička analiza – Statička analiza provodi se direktno na sadržaju datoteke koristeći posebne skripte i alate koji broje ponavljanja određenih značajki koje obično sadrži zlonamjeran softver.
• Dinamička analiza – Dinamička analiza provodi se uživo, odnosno pri pokretanju PDF-a na određenom računalu na kojem se može kontrolirati šteta, ukoliko dođe do nje. Naime, PDF se otvara u čitaču koji može spriječiti izvođenje zlonamjernog softvera, te je iz tog razloga potrebno mijenjati čitače. Jednom kada dođe do izvođenja virusa, dinamičkom se analizom prati njegovo izvođenje i traži uzrok istoga.
• Hardversko otkrivanje zlonamjernog softvera – pristup otkrivanja zlonamjernog softvera u PDF-u pomoću jednostavnog hardvera. Datoteke se pokreću na navedenom hardveru, gdje se zatim prati izvođenje virusa.
Ukoliko PDF dolazi iz nepouzdanog izvora, potrebno je biti oprezan i poduzeti sljedeće korake kako bi se računalo zaštitilo od virusa.
• Onemogućiti JavaScript u čitaču
• Onemogućiti PDF čitaču pokretanje datoteka koje nisu PDF
• Ne ulaziti u linkove u PDF-u
• Ne preuzimati datoteke i podatke koje šalje i preporuča nepoznat izvor
• Upaljen i ažuriran antivirusni program
PDF dokument može poput svih ostalih datoteka i dokumenata sadržavati viruse i zloćudan softver. Iz tog razloga valja biti orezan pri otvaranju PDF-ova iz nepouzdanih izvora te slijediti gore navedene korake kako bi se zaštitilo računalo od mogućih napada. Ukoliko se uspješno izvrši napad, posljedice mogu biti velike. Konačno, treba biti u korak s vremenom, te pratiti najnovije trendova, kako virusa tako i čitača i preglednika PDF-a, te potom izabrati onaj koji je najsigurniji za vaše računalo.
[1] https://www.sentinelone.com/blog/malicious-pdfs-revealing-techniques-behind-attacks/
[2] Nicolas Fleury, Theo Dubrunquez, Ihsen Alouani: PDF-Malware: An Overview on Threats, Detection and Evasion Attacks (https://arxiv.org/pdf/2107.12873.pdf)
[3] https://www.malwarefox.com/can-pdf-have-virus/
[4] https://security.stackexchange.com/questions/64052/can-a-pdf-file-contain-a-virus