Fórum Root.cz
Hlavní témata => Software => Téma založeno: Honza888 19. 08. 2015, 08:07:58
-
Ahoj,
jsme firma co dela import a export zbozi - chodi nam mraky emailu s ruznymi notifikacemi o zasilkach apod.
Dneska mi prisel email od "gurjarbuilders@gmail.com" s predmetem "DHL Shipping Document" a "to" bylo prazdne.
Uvnitr 2 PDF dokumenty: DHL_Tracking_Number.pdf a DHL EXPRESS DELIVERY.pdf
Vysledky virustotal:
https://www.virustotal.com/cs/file/fb36458f876bce6a52f4867cf6e5c12cc96491ad2cad12e31f0fbd7d2958b4de/analysis/
https://www.virustotal.com/cs/file/a8f8fadf8fcc3e51204ea2944effef52290581c418fed6b22ae042b8d979f596/analysis/
tzn hlasi to vse ciste, ale kdyz jsem to testoval tak uz to nekdo submitoval predemnou - neni duvod aby nekdo submitoval "muj" DHL tracking dokument (nikdo z firmy to urcite nebyl) - velmi podezrele.
Byt to zadny z testu neukazuje, tak presto jsem si na 90+ % jist ze v tom je skodlivy kod, jak se proti tomuhle branit?
Diky za jakykoliv rozumny napad.
-
Najbezpečnejšie je to otvoriť v LiveCD hocijakého Linuxu bez pripojených HDD, pozrieť dokument a potom reštartnúť, prípadne si na takéto účely urobiť virtuálnu stroj, napríklad cez VirtualBox, samozrejme bez pripojených diskov s hostu.
-
diky za reakci, nicmene tohle neni realne proveditelne tech dokumentu chodi denne desitky (legitimnich) - mel jsem na mysli neco co pobezi rezidentne na PC a udela pred otevrenim scan, pripadne nejakou webovou sluzbu kam ten soubor jde nahrat a ta ho otestuje (v rozumnem case a vystupem srozumitelnym pro BFU). Schudne by bylo pouzivat i nejaky alternativni prohlizec PDF ktery implicitne tyhle zverstva nespusti (flash a JS uvnitr dokument). MS Word ma ted uz nejaky rezim ze kdyz se soubor stahne z Internetu, ze tyhle veci nepousti.
-
Testovanie súborov na prítomnosť mallware má na na starosti antivírusový program. Predpokladám že nejaký antivírus je už vo firme nainštalovaný a kontroluje príchodziu poštu na serveri. A rovnako je nejaký antivírus aj na klientských desktopoch kde vykonáva rovnakú kontrolu. V tomto prípade by som odporučil kontaktovať dodávateľa. Riziko vo firme je v tomto prípade vyššie a oplatí sa mať platenú podporu.
PS: Nie som predajcom AV produktov, a ani nepracujem pre AV spoločnosť. Len som si pozrel výsledky testov kde sa riešenia zdarma moc nevyznamenali.
-
Testovanie súborov na prítomnosť mallware má na na starosti antivírusový program. Predpokladám že nejaký antivírus je už vo firme nainštalovaný a kontroluje príchodziu poštu na serveri. A rovnako je nejaký antivírus aj na klientských desktopoch kde vykonáva rovnakú kontrolu. V tomto prípade by som odporučil kontaktovať dodávateľa. Riziko vo firme je v tomto prípade vyššie a oplatí sa mať platenú podporu.
PS: Nie som predajcom AV produktov, a ani nepracujem pre AV spoločnosť. Len som si pozrel výsledky testov kde sa riešenia zdarma moc nevyznamenali.
na stanicich AV samozrejme je a na serveru se to blokuje ale co se situaci kdy 100 % antiviru hlasi ze v tom nic neni a pritom je zrejme ze tam nejaka skodna je? (viz puvodni prispevek)
viz:
https://www.virustotal.com/cs/file/fb36458f876bce6a52f4867cf6e5c12cc96491ad2cad12e31f0fbd7d2958b4de/analysis/
https://www.virustotal.com/cs/file/a8f8fadf8fcc3e51204ea2944effef52290581c418fed6b22ae042b8d979f596/analysis/
-
..
kdy 100 % antiviru hlasi ze v tom nic neni a pritom je zrejme ze tam nejaka skodna je? (viz puvodni prispevek)
viz:
https://www.virustotal.com/cs/file/fb36458f876bce6a52f4867cf6e5c12cc96491ad2cad12e31f0fbd7d2958b4de/analysis/
https://www.virustotal.com/cs/file/a8f8fadf8fcc3e51204ea2944effef52290581c418fed6b22ae042b8d979f596/analysis/
pak se obrat na dodavatele sveho antiviru, submitni mu tvuj nalez...
-
hele, dej ty soubory nekam, podivam se na ne...
-
hele, dej ty soubory nekam, podivam se na ne...
tady to je:
http://www.wikitransfer.ch/74b8b3fc46f77042/possibly-malicious-PDF-files(virus).zip
!!! Pro ostatni - otvirat jen na vlastni nebezpeci.
-
Přesně k tomu se hodí integrované "kreslítko" pdf souborů ve firefoxu ...
-
Přesně k tomu se hodí integrované "kreslítko" pdf souborů ve firefoxu ...
co tim presne myslite? I ten firefox mel nedavno problem:
https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
-
diky za reakci, nicmene tohle neni realne proveditelne tech dokumentu chodi denne desitky (legitimnich)
Qubes OS má uživatelsky přívětivé disposable VM, BFU to ale asi nevnutíš.
Antiviry půjdou nejspíš vždycky nějak obejít.
-
Oba soubory PDF jsou zcela standardní bezpečné PDF.
Akorát ten jeden obsahuje odkaz na evidentní phishing site http://sqmsocher.com (ani prohlížeči se tam nechtělo) - zdá se, že se tam snaží vyloudit email... možná i něco dál...
S tím ovšem pomůže jen osvěta - antivir (výměnou za část výkonu stroje) možná utlumí paranoiu, ale nemůže nikomu zabránit v zadávání svých osobních údajů na cizí stránky...
-
Ja by som tie podozrivé PDF konvertoval na iný formát napr. na text síce na odkazov na phising stránky nezbavíš ale zbaví ťa to škodlivého kódu
-
Ja by som tie podozrivé PDF konvertoval na iný formát napr. na text síce na odkazov na phising stránky nezbavíš ale zbaví ťa to škodlivého kódu
To je moc dobrý nápad. Někdo by ale mohl namítat že když je tam škodlivý kód pro prohlížeč, bude tam i škodlivý kód pro konvertor.
-
Ja by som tie podozrivé PDF konvertoval na iný formát napr. na text síce na odkazov na phising stránky nezbavíš ale zbaví ťa to škodlivého kódu
To je moc dobrý nápad. Někdo by ale mohl namítat že když je tam škodlivý kód pro prohlížeč, bude tam i škodlivý kód pro konvertor.
Full Virtualization VM? bez sieťovky
-
Full Virtualization VM? bez sieťovky
A proč pak ve VM nepustit rovnou ten PDF prohlížeč? Převod bude často ztrátový.
-
Na stanici BFU nahodit jednoduchou distribuci Linuxu. Třeba Mint si Cinnamonem, možná Kubuntu. Office přes wine už jdou OK. Ušetříte na antiviru a nemusíte mít takový strach. Samozřejmě pozor i tam, viz zmiňovaná chyba ve firefoxu...
-
Office přes wine už jdou OK.
Pokud s tím útočník počítal, dokáže se z Wine jednoduše vylámat. Wine není sandbox.
nemusíte mít takový strach. Samozřejmě pozor i tam, viz zmiňovaná chyba ve firefoxu...
A právě ta chyba ve Firefoxu kradla speciálně SSH klíče z Linuxu…
-
nejaky sandbox, ktery bude dobre nastaven a budou se v nem otevirat pdf v danem pdf prohlizeci
namatkou sandboxie, pripadne comodo firewall ma sandbox, ktery je dobre konfigurovatelny
-
Zda sa, ze v tom priamo virus nie je; mozno je tam exploit na font, ale to tazko preverim.
Je tam ale odkaz na sqmsocher.com a to ma kradnut hesla do DHL cez yerwghhz.zz.mu/Act.php (tam sa nedostanem, takze tam mozno virus je).
Vsetkemu nerozumiem, takze to neber uplne vazne. Toto ti ale ziadny antivir odchytit nemoze, lebo odkaz moze byt aj v skutocnom dokumente.
-
http://blog.didierstevens.com/
-
Full Virtualization VM? bez sieťovky
A proč pak ve VM nepustit rovnou ten PDF prohlížeč? Převod bude často ztrátový.
OP chcel plošné riešenie pre všetkých. skopírovať prílohu > odstrániť prílohu > konvertovať vo VM > pridať (txt) k mailu
Možno by bolo lepšie použiť nejaký iný formát ktorý nepodporuje skriptovanie
-
Full Virtualization VM? bez sieťovky
A proč pak ve VM nepustit rovnou ten PDF prohlížeč? Převod bude často ztrátový.
OP chcel plošné riešenie pre všetkých. skopírovať prílohu > odstrániť prílohu > konvertovať vo VM > pridať (txt) k mailu
Možno by bolo lepšie použiť nejaký iný formát ktorý nepodporuje skriptovanie
Akurat konverzia do TXT nic neriesi, ked je to dolezite skryte v obrazku alebo je tam proste odkaz mimo. Potom straca zmysel spojenie "click HERE" alebo obrazky, ako boli u neho.
Qubes konvertuje PDF do bitmapy, co je mozno trochu lepsie, ale stale chybaju odkazy.
(Otazka je, ci su tie obrazky a odkazy naozaj treba. A ci sa neda exploitovat aj "blby" prehliadac textu. A ci uzivatel lubovolnou upravou nieco nestrati, napriklad teda elektronicky podpis pri vypise z banky)
-
Chce to linux, bsd nebo nejake jine vuci win exoticke OS, pro ktere se jim nechce vymejslet brebery. Antivir je pekna vec, ale dneska jde u breber o prachy, takze to prekopou a antivir nehlasi. Vas problem je ze holt potrebujete otevrit pofiderni veci. Snad jeste pouzit i exoticke prohlizec, ... , ono to nemusi bit nejhezci, hlavne kdyz to pramci moznosti zobrazi co potrebujete.