Istraživač za računalnu sigurnost Brandon Dixon otkrio je mogućnost kojom napadači mogu omesti većinu antivirusnih alata pri detekciji zloćudnog sadržaja. Utvrdio je da je to moguće učiniti enkodiranjem zloćudnih PDF datoteka u XDP format. Riječ je o datoteci zasnovanoj na XML formatu koja sačinjava PDF u obliku Base64 enkodiranog podatkovnog toka.
Iznenađujuća je činjenica kako obično enkodiranje može prevariti antivirusni alat premda je već duže vrijeme poznato da je relativno lako zaobići detekciju antivirusnog alata.
Jednom je prilikom Dixon testirao dokument koji koristi dvije godine staru ranjivost u Adobe Readeru i pri čemu je samo jedan antivirusni paket otkrio zloćudan sadržaj. Nakon testiranja s XDP formatom, uspio je stvoriti drugu datoteku koja je prevarila mehanizme detekcije 42 antivirusna alata korištenih na web sjedištu VirusTotal.
Na svojem je blogu Dixon napomenuo nužnu potrebu izbjegavanja XDP datoteka sve dok Adobe ne zakrpa softver ili antivirusne tvrtke ne poboljšaju metode detekcije.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.