Sitio personal de Ariel M. Liguori De Gottig

Thursday, December 11

PDF, ¿Portable Document Format ó Poisoned Document Format?





Los archivos PDF circulan hoy en día por la red con la naturalidad que los años y sus beneficios le han asignado. Los PDF's han logrado abrirse lugar entre los diversos formatos de archivos gracias a sus ventajas (que no pienso detallar, try google), y es por ello que al haber alcanzado a un grupo masivo de usuarios se convierten en el foco de posibles amenazas.



¿Por que?
Simple, el aprovechar este tipo de archivos para realizar cualquier tipo de acción sobre otros usuarios se puede replicar por millones (ya aclaré que el uso del PDF es _MASIVO_).

Esto que cuento, obviamente no se me ocurrió a mi, sino a varias personas hace mucho tiempo y es así que hoy en día los PDF pueden resultar una amenaza para nuestra PC.

¿Como es que un PDF puede hacernos daño?
Básicamente lo que se realiza es la inyección de código malicioso dentro de un archivo, por ejemplo, dentro de un ebook en formato pdf podemos añadir código js que se ejecute luego de abrir el archivo. Imagínense si dicho ebook es alojado en rapidshare/megaupload/x el alcance que tendrá.



¿Que daño se busca hacer?
Todo ataque tiene una finalidad, difícilmente hoy en día se observe a alguna persona que intente desarrollar troyanos o detectar vulnerabilidades sin un beneficio detrás. En el caso de los PDF generalmente se trata de:

  • Pishing
  • SPAM
  • Robo de información.
¿Como lo detecto?
En principio, la idea es evitar abrir emails con PDF's de fuentes poco confiables, sin embargo es posible que haya muchos archivos ya infectados en la red. Para evitar ser víctima de ellos lo ideal es utilizar algún scanner de pdf, tener el AV actualizado (aunque con las técnicas de ofuscación que se realizan difícilmente detecten algo) y ,lo más importante, ser consciente del riesgo que corremos.

Por hoy no voy a continuar sobre el tema ya que es posible que genere un papper bastante completo con toda esta info, seguramente eso lo aprovecharán más.

Les dejo algunas herramientas para que trabajen:
PDF-Parser v0.20
make-PDF v0.10 (Cuidado con este ;) )

Algunos links muy interesantes:
Tecnicas para el ocultamiento de malware en PDFs
Didier Stevens Blog: Introduccion a la deteccion de malware en PDFs
Didier Stevens Blog: Estructura de un archivo PDF

0 comentarios: