¿Cuál es la práctica estándar de la industria para guardar un PDF potencialmente (probablemente) malicioso para su análisis?

3

He recibido un correo electrónico con un PDF adjunto que tiene muchas señales de ser un archivo adjunto malicioso. Al carecer del tiempo y los recursos para analizarlo en este momento, me gustaría almacenarlo para su uso posterior y posiblemente compartirlo con otro investigador. ¿Cuál es el proceso recomendado para almacenar estos archivos adjuntos potencialmente maliciosos, dado que al menos un cliente de correo que uso puede obtener una vista previa de los archivos adjuntos antes de hacer clic en ellos?

¿Debo usar un cliente de correo web, descargar el archivo y luego comprimirlo? ¿Debería GPG o cifrar el archivo de otra manera, para evitar que el sistema de archivos dispare alguna carga útil de apertura automática? ¿Debo crear una máquina virtual con mis credenciales cargadas (parece una idea potencialmente mala, debería estar comprometida la máquina virtual) para un cliente de correo y descargar el archivo allí?

Esto es diferente de esta pregunta , ya que estoy buscando almacenar (y transferir) estos archivos PDF potencialmente maliciosos.

Si importa, estoy considerando usar PDF Tools de Didier Stevens para un análisis posterior.

    
pregunta user3.1415927 03.09.2018 - 05:00
fuente

1 respuesta

2

No lo descargue en una máquina normal, ya que varios servicios pueden intentar acceder a él para indexar o para obtener una vista previa, lo que puede ser explotable. Pero independientemente, ¿qué tan avanzado espera que sea el PDF malicioso? ¿Quién es tu adversario? La respuesta a esa pregunta determinará si la respuesta es solo copiarla con su AV habilitado, o si necesita hacerlo en una máquina de prueba con espacio de aire dedicado.

El espionaje corporativo a menudo es comparable a los estados nacionales en términos de los riesgos. Si usted es una empresa grande o en un negocio de alto riesgo, considere la posibilidad de obtener un equipo de seguridad dedicado que pueda lidiar con esto. En caso de duda, utilice un sistema de vacío para el análisis. El sistema operativo Qubes utiliza la virtualización para el aislamiento, creando una nueva máquina virtual para cada aplicación cuando sea necesario. Aunque se basa en Xen y Xen 0day podría romper fácilmente las máquinas virtuales individuales, puede ser bastante seguro cuando se usa en una máquina con espacio de aire.

Los analizadores de PDF son muy inseguros, así que espere que no sea difícil para un atacante de nivel de habilidad moderado lograr una ejecución de código arbitrario cuando se abre el PDF.     

respondido por el forest 03.09.2018 - 06:09
fuente

Lea otras preguntas en las etiquetas