악의적인 PDF 파일 Static 분석

PDF문서는 객체와 스트림으로 구성됩니다. 때로는 공격자가 PDF문서를 사용하여 악성 스크립트를
포함시키기도 합니다.

오늘은 이러한 PDF로 악의적인 공격을 하는 PDF파일에 대해 Static 분석 포스팅을 하겠습니다.

 

먼저 악의적인 PDF파일의 예시입니다.

 

 

이 PDF에는 javascript 및 openaction 객체가 포함되어 있어서 의심스러운 면이 있습니다.

 

 

Javascript가 난독화 됩니다.

 

 

읽기가 더 수월해집니다.

 

 

 

Javascript를 보면 이스케이프(unescape) 및 평가 함수(eval function)를 볼 수 있습니다.
이것은 공격자가 일부 취약점을 악용하려고 시도하고있으며, 아마도 쉘코드가 있는 메모리를

분사하고 있음을 알 수 있습니다.

 

 

이러한 악의적인 PDF파일의 공격에 피해를 최소화 할 수 있는 방안은 다음과 같습니다.
- 자바스크립트 사용을 제한합니다.
: 직접적인 자바스크립트 관련 취약점 외에도 다수의 PDF 취약점에서 자바스크립트를 사용하고 있기 때문에

기능을 사용하지 않는 것만으로 취약점 성공 가능성을 낮출 수 있습니다.
Adobe Reader -> 기본 설정 -> JavaScript -> Acrobat JavaScript 사용 가능 해제

 

- 주기적으로 Adobe사가 제공하는 업데이트를 적용합니다.
: Adobe사의 보안게시판(http://www.adobe.com/support/security)이나 Security Notification Service 등을

이용하여 주기적으로 보안정보를 확보하는 것이 좋습니다.
Adobe Reader -> 도움말 -> 업데이트 확인을 통해 항상 최신 업데이트

 

- 악성 스크립트 진단 엔진을 갖는 보안제품을 설치하여 최신으로 운용한다.
: 파일기반 취약점 진단은 일반적인 경우보다 추가적인 처리가 요구되어 진단이 쉽지 않습니다.
비교적 General 진단엔진이나 빠른 업데이트가 가능한 보안제품을 선택하여 최신버전으로 운용하는 것이 좋습니다.

 

이번시간에는 악의적인 PDF 파일의 Static 분석과 관련하여 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.