アバストは、PDFエクスプロイトがウイルス対策プログラムから見えないことを発見しました

チェコのセキュリティ会社アバストソフトウェアによると、犯罪者は、不明瞭な画像フィルターを使用して、悪意のあるPDFファイルを多くのウイルス対策プログラムからほとんど見えないようにしています。

このトリックでは、PDF(Portable Document Format)ファイル内に一般的なAdobe Readerの悪用を隠して、JBIG2Decodeフィルターでエンコードします。これは通常、PDF内にモノクロのTIFF(Tagged Image File Format)画像を埋め込むときにファイルサイズを最小化するために使用されます。

[の「MalwareDeepDive」PDFガイドで、の専門家からの実践的なアドバイスを利用して、ビジネスを脅かすウイルス、ワーム、およびその他のマルウェアをブロックする方法を見つけてください。]

コンテンツはウイルス対策ソフトウェアには無害な2次元TIFF画像として表示されるため、悪意のあるエクスプロイトは見過ごされます。

「純粋な画像アルゴリズムが、必要なオブジェクトストリームの標準フィルターとして使用されると誰が考えたでしょうか?」アバストウイルスアナリストのJiriSejtkoはブログで述べています。「それが、スキャナーが元のコンテンツのデコードに成功しなかった理由です。そのような動作は予期していませんでした。」

問題の一部は、PDF仕様によって提供された、JBIG2Decodeなどのフィルターを通常とは異なる方法で使用し、それらのいくつかをレイヤー化された方法で一度に使用することさえできる範囲でした。

対象となるTIFFの脆弱性は、2010年2月のCVE-2010-0188であり、Windows、Mac、およびUnixで実行されているAdobe Reader9.3以前のバージョンに影響を及ぼします。現在のバージョンであるReaderX 10.xは影響を受けませんが、多くのユーザーは引き続き古いバージョンを使用します。

さらに、アバストの研究者は、同じJBIG2Decodeフィルター技術が、すべてのプラットフォームで実行されているReader9.3.4に影響を与える2010年9月のTrueTypeフォントエクスプロイトを含む他のエクスプロイトを隠すために使用されていると考えています。

「この厄介なトリックが標的型攻撃で使用されているのを見てきました。これまでのところ、比較的少数の一般的な攻撃で使用されています。おそらくそれが、他の誰もそれを検出できない理由です」とSejtko氏は述べています。アバストは、JBIG2Decode攻撃を検出するようにソフトウェアを更新しました。

この方法でエクスプロイトをマスクする手法は、単純な署名ではなく専用のアルゴリズムを使用してルースを選択解除する必要があるため、ウイルス対策スキャナーが検出するのは比較的要求が厳しいままです。

Sejtkoは、5月5〜6日にプラハで開催されるCaro 2011ワークショップで、アバストの研究者がエクスプロイトを隠すためのフィルターの使用について話し合うと述べました。