恶意PDF嵌入XDP以绕开防病毒网关

2012-06-26 121120人围观 ,发现 4 个不明物体 资讯

英国计算机应急响应小组(UK Government’s Computer Emergency Response Team)6月22日发布消息称,攻击者把恶意PDF文件封装到XDP格式文件中,以此规绕过防病毒网关的查杀。
XML Data Package(XDP) 是Adobe的一种基于XML的文件格式,文件名后缀为XDP,它是一种把PDF格式的文件内容封装在XML容器的机制。XML是一种文本格式,PDF文件是二进制格式,因此在将PDF文件以XML格式封装在XDP文件之前必须先将PDF文件编码为文本格式。在XDP文件格式中将二进制格式的PDF包编码为文本格式最常用的方式是base64编码。当时使用Adobe Reader打开XDP文件时,就像打开原始的PDF一样。

当然,杀毒厂商Sophos说在客户端,用户打开xdp时会释放PDF,在那个时候Sophos可以对PDF进行查杀。但是,这样一种通过XDP的嵌套手段确实已经绕开了防病毒网关的防护。毕竟当恶意PDF到达了客户端PC机上就已经有很多手段规避杀毒了,例如免杀。但是如果在防病毒网关能够检测的话,防病毒网关可以搞多个杀毒引擎来查,或者沙盒什么的。而现在这样一种绕过。的确就减弱了一道防线了。

更多精彩
相关推荐
发表评论

已有 4 条评论

取消
Loading...
cs24

国内某大型甲方安全工程师

71 文章数 20 评论数 0 关注者

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      活动预告

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php