Jak se bránit podezřelým PDF a MS Office dokumentům?

[Honza888]

Ahoj,
jsme firma co dela import a export zbozi - chodi nam mraky emailu s ruznymi notifikacemi o zasilkach apod.
Dneska mi prisel email od "gurjarbuilders@gmail.com" s predmetem "DHL Shipping Document" a "to" bylo prazdne.
Uvnitr 2 PDF dokumenty: DHL_Tracking_Number.pdf a DHL EXPRESS DELIVERY.pdf
Vysledky virustotal:
https://www.virustotal.com/cs/file/fb36458f876bce6a52f4867cf6e5c12cc96491ad2cad12e31f0fbd7d2958b4de/analysis/
https://www.virustotal.com/cs/file/a8f8fadf8fcc3e51204ea2944effef52290581c418fed6b22ae042b8d979f596/analysis/

tzn hlasi to vse ciste, ale kdyz jsem to testoval tak uz to nekdo submitoval predemnou - neni duvod aby nekdo submitoval "muj" DHL tracking dokument (nikdo z firmy to urcite nebyl) - velmi podezrele.

Byt to zadny z testu neukazuje, tak presto jsem si na 90+ % jist ze v tom je skodlivy kod, jak se proti tomuhle branit?

Diky za jakykoliv rozumny napad.

[Reklama]

[Vladimír Drgoňa]

Najbezpečnejšie je to otvoriť v LiveCD hocijakého Linuxu bez pripojených HDD, pozrieť dokument a potom reštartnúť, prípadne si na takéto účely urobiť virtuálnu stroj, napríklad cez VirtualBox, samozrejme bez pripojených diskov s hostu.

[Honza888]

diky za reakci, nicmene tohle neni realne proveditelne tech dokumentu chodi denne desitky (legitimnich) - mel jsem na mysli neco co pobezi rezidentne na PC a udela pred otevrenim scan, pripadne nejakou webovou sluzbu kam ten soubor jde nahrat a ta ho otestuje (v rozumnem case a vystupem srozumitelnym pro BFU). Schudne by bylo pouzivat i nejaky alternativni prohlizec PDF ktery implicitne tyhle zverstva nespusti (flash a JS uvnitr dokument). MS Word ma ted uz nejaky rezim ze kdyz se soubor stahne z Internetu, ze tyhle veci nepousti.

[Peter]

Testovanie súborov na prítomnosť mallware má na na starosti antivírusový program. Predpokladám že nejaký antivírus je už vo firme nainštalovaný a kontroluje príchodziu poštu na serveri. A rovnako je nejaký antivírus aj na klientských desktopoch kde vykonáva rovnakú kontrolu. V tomto prípade by som odporučil kontaktovať dodávateľa. Riziko vo firme je v tomto prípade vyššie a oplatí sa mať platenú podporu.

PS: Nie som predajcom AV produktov, a ani nepracujem pre AV spoločnosť. Len som si pozrel výsledky testov kde sa riešenia zdarma moc nevyznamenali.

[Honza888]

Testovanie súborov na prítomnosť mallware má na na starosti antivírusový program. Predpokladám že nejaký antivírus je už vo firme nainštalovaný a kontroluje príchodziu poštu na serveri. A rovnako je nejaký antivírus aj na klientských desktopoch kde vykonáva rovnakú kontrolu. V tomto prípade by som odporučil kontaktovať dodávateľa. Riziko vo firme je v tomto prípade vyššie a oplatí sa mať platenú podporu.

PS: Nie som predajcom AV produktov, a ani nepracujem pre AV spoločnosť. Len som si pozrel výsledky testov kde sa riešenia zdarma moc nevyznamenali.

na stanicich AV samozrejme je a na serveru se to blokuje ale co se situaci kdy 100 % antiviru hlasi ze v tom nic neni a pritom je zrejme ze tam nejaka skodna je? (viz puvodni prispevek)
viz:
https://www.virustotal.com/cs/file/fb36458f876bce6a52f4867cf6e5c12cc96491ad2cad12e31f0fbd7d2958b4de/analysis/
https://www.virustotal.com/cs/file/a8f8fadf8fcc3e51204ea2944effef52290581c418fed6b22ae042b8d979f596/analysis/

[Reklama]

[OMG]

..
kdy 100 % antiviru hlasi ze v tom nic neni a pritom je zrejme ze tam nejaka skodna je? (viz puvodni prispevek)
viz:
https://www.virustotal.com/cs/file/fb36458f876bce6a52f4867cf6e5c12cc96491ad2cad12e31f0fbd7d2958b4de/analysis/
https://www.virustotal.com/cs/file/a8f8fadf8fcc3e51204ea2944effef52290581c418fed6b22ae042b8d979f596/analysis/

pak se obrat na dodavatele sveho antiviru, submitni mu tvuj nalez...

[OMG]

hele, dej ty soubory nekam, podivam se na ne...

[Honza888]

hele, dej ty soubory nekam, podivam se na ne...

tady to je:
http://www.wikitransfer.ch/74b8b3fc46f77042/possibly-malicious-PDF-files(virus).zip

!!! Pro ostatni - otvirat jen na vlastni nebezpeci.

[hawran diskuse]

Přesně k tomu se hodí integrované "kreslítko" pdf souborů ve firefoxu ...

[Honza888]

Přesně k tomu se hodí integrované "kreslítko" pdf souborů ve firefoxu ...

co tim presne myslite? I ten firefox mel nedavno problem:
https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/

[Jenda]

diky za reakci, nicmene tohle neni realne proveditelne tech dokumentu chodi denne desitky (legitimnich)

Qubes OS má uživatelsky přívětivé disposable VM, BFU to ale asi nevnutíš.

Antiviry půjdou nejspíš vždycky nějak obejít.

[x14]

Oba soubory PDF jsou zcela standardní bezpečné PDF.
Akorát ten jeden obsahuje odkaz na evidentní phishing site http://sqmsocher.com (ani prohlížeči se tam nechtělo) - zdá se, že se tam snaží vyloudit email... možná i něco dál...
S tím ovšem pomůže jen osvěta - antivir (výměnou za část výkonu stroje) možná utlumí paranoiu, ale nemůže nikomu zabránit v zadávání svých osobních údajů na cizí stránky...

[Ramtech]

Ja by som tie podozrivé PDF konvertoval na iný formát napr. na text síce na odkazov na phising stránky nezbavíš ale zbaví ťa to škodlivého kódu

[Jenda]

Ja by som tie podozrivé PDF konvertoval na iný formát napr. na text síce na odkazov na phising stránky nezbavíš ale zbaví ťa to škodlivého kódu

To je moc dobrý nápad. Někdo by ale mohl namítat že když je tam škodlivý kód pro prohlížeč, bude tam i škodlivý kód pro konvertor.

[Ramtech]

Ja by som tie podozrivé PDF konvertoval na iný formát napr. na text síce na odkazov na phising stránky nezbavíš ale zbaví ťa to škodlivého kódu

To je moc dobrý nápad. Někdo by ale mohl namítat že když je tam škodlivý kód pro prohlížeč, bude tam i škodlivý kód pro konvertor.

Full Virtualization VM? bez sieťovky