Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Antivírus vs. Base64

2012.06.19. 08:30 | buherator | 2 komment

Antivírusokat kerülgetni alapvetően jó móka, fejleszti a kreativitást, és az azonnali visszajelzés gyors sikerélményt ígér. Sajnos azonban a hivatásos játékosokat itt is nehéz lenyomni: Brandon Dixon egy, a gépét éppen teleszemetelő vadon termő kártevőben figyelt fel egy érdekes módszerre a PDF exploitok álcázására.

A módszer kulcsa az XDP formátum, ami egy XML csomagoló kifejezetten PDF fájlok számára. Mint azt tudjuk XML-be nem lehet csak úgy minden féle bináris borzalmat belehányni, PDF-be inkább, ezért a PDF objektumok base64 kódolva kerülhetnek az XDP-kbe (házi feladat: olvassátok fel ezt a mondatot nem-infós ismerőseiteknek!).

Brandonnak sikerült egy különösebb obfuszkációt nem alkalmazó - shellkódot viszont nem tartalmazó -, 2009-es PDF exploitot XDP-be csomagolva 0/42-re verni a VirusTotal versenyzőit. Hasonló tesztek futtathatók az eredeti posztban található szkript, illetve Metasploit segítségével is. 

Címkék: malware pdf antivírus xdp

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii 2012.06.21. 17:18:11

obfuszkációt nem alkalmazó - shellkódot viszont nem tartalmazó -> gondolom utóbbi "nem" téves.

buherator · http://buhera.blog.hu 2012.06.22. 13:04:54

@boldii: Jól van az ott, a teszt arra ment rá, hogy az exploit trigger kódját megfogják-e az AV-k. Népszerű shellkódokat könnyű detektálni viszonylag.
süti beállítások módosítása