Carga de archivo PDF malintencionado

3

Tengo un servidor web para que mis clientes carguen sus archivos PDF. También tengo una licencia IDS / IPS con Anti-Malware que se encuentra entre el usuario y el servidor web y bloquea la carga de archivos PDF maliciosos. El problema es que, en caso de que detecte un archivo pdf que no lo haya vuelto a ver (es decir, su SHA), puede cargarlo y luego enviarlo para su análisis en un entorno de nube de fondo aislado. Pero dado que permite el archivo, estoy intentando "bloquear" archivos PDF que contienen Javascript o Archivos incrustados mediante un fragmento de código que se ejecuta en el servidor web. ¿Hay algo más que deba considerar para bloquear además de esto?

    
pregunta fargo01 30.10.2018 - 12:55
fuente

2 respuestas

4

Utilícelos a través de un convertidor en formato PDF / A .

Prohibe cualquier tipo de contenido activo.

Si no se convierten, deséchalos.

  

IDS / IPS con licencia Anti-Malware

Escanear es una batalla perdida. No importa lo que su escáner sepa que buscar, siempre habrá algo nuevo que no sepa buscar.

  

entorno de nube de fondo de arena dedicado

Esto es útil para el malware genérico, pero no lo es para el malware dirigido que solo ejecutará su carga útil en condiciones que solo existen en su destino.

Si quieres asegurarte de que el archivo no haga nada malo cuando se abra, asegúrate de que no contenga nada ejecutable. Para ello, ejecute usted mismo la conversión a PDF / A no ejecutable. Esto crea un archivo PDF nuevo y limpio que, por definición, no está infectado porque lo creó.

    
respondido por el PushfPopf 30.10.2018 - 16:52
fuente
3

Es casi imposible evitar la carga de archivos PDF maliciosos, ya que un script debe poder detectar el contenido malicioso. Alguien podría comprimir y cifrar un virus que se puede guardar en un PDF que no sería detectable por ningún análisis sin la clave de descifrado. Se debe ejecutar en el servidor un conjunto de programas antivirus / troyanos (p. Ej., Malwarebytes) para poner en cuarentena (incluso eliminar) los archivos infectados encontrados para que no puedan hacer ningún daño después de la carga. Puede bloquear todas las subidas para asegurarse de que no llegue el contenido malicioso.

Los archivos PDF maliciosos generalmente se usan para detectar vulnerabilidades en un Visor de PDF (u otros programas populares de apertura de archivos), por lo que sería bueno asegurarse de que no haya Visores de PDF u otras aplicaciones solo para clientes como Aplicaciones de Adobe, Aplicación de Microsoft Office (que son a menudo dirigidos por exploits de día cero) se instalan en el servidor de carga. Todos los navegadores en el servidor deben estar bloqueados en la medida de lo posible (los archivos PDF se pueden ver en algunos navegadores si están configurados para hacerlo, lo que posiblemente genere una carga útil atrapada) y garantizar que no se estén utilizando programas JavaScript como NodeJS.

    
respondido por el Lance Parkington 30.10.2018 - 14:09
fuente

Lea otras preguntas en las etiquetas