Безопасность. Почему pdf-файлы так опасны? И как с этим быть?

Часто пересылаете друг другу файлы? В большинстве случаев рекомендую коллегам этого НЕ делать:

• Во-первых, так сложнее вести совместную работу над документом;
• Во-вторых, это сильно сжирает время;
• В-третьих, это не безопасносно. Совсем.

Особенно - если речь идёт про PDF-формат. Итак, несколько “но” о нём.

Но №01. База

Короткая фраза: “Файлы PDF сегодня — один из основных источников заражения компьютера”.

Почему?

Причин много, но одна из важнейших заключается в том, что многие годы “... Adobe Acrobat пытается не дать антивирусам изучать открываемые пользователями PDF-файлы, тем самым создавая угрозу безопасности. Сообщается, что Adobe Acrobat проверяет, интересуются ли его процессами компоненты примерно 30 защитных продуктов, а затем блокирует их, фактически лишая возможности отслеживать вредоносную активность”.

И сколько бы потом ни открывалось всего, проблема сохраняется: вместо 10+ лет исследований - всегда будет 10- (отставания).

Поэтому баги 6-10 летней давности - норма в этом формате. Если и этого не достаточно, то вот вам статья от 2011 года, которая называется: “PDF - орудие №01 для интернет атак”.

Но №02. Примеры Web3

Недавний взлом Bybit был схож с Radiant-хаком: его разбирал по ссылке.

Так вот что там произошло: “11 сентября 2024 года разработчик Radiant получил сообщение в Telegram от якобы бывшего подрядчика, заслуживающего доверия. В сообщении говорилось, что подрядчик развивает новую карьеру, связанную с аудитом смарт-контрактов. В нём содержалась ссылка на архивированный PDF-файл с описанием предполагаемой новой деятельности и просьбой оставить отзыв о работе… При более детальном рассмотрении стало понятно, что это сообщение, вероятно, было отправлено злоумышленником, связанным с КНДР, который выдавал себя за бывшего подрядчика”.

И это - далеко не единичный случай (хотя и один из самых значимых): “До налёта на Bybit рекордом группы (Лазарус) было похищение $540 млн из блокчейна Ronin Networks, связанного с игрой Axie Infinity. В той атаке 2022 года хакеры смогли заразить компьютер одного из разработчиков игры при помощи фальшивого предложения о работе в зараженном PDF-файле. Эту тактику социальной инженерии группировка успешно применяет по сей день”.

И можете поискать ещё: но, думаю, суммарный взлом на ⅔ миллиарда долларов - уже повод задуматься?

Но №03. Универсальность PDF

Взломы с помощью этого инструмента доступны через самые разные каналы:

1. СМС-сообщения;
2. Сообщения в мессенджерах;
3. Email-спам;
4. Прямое скачивание с сайтов;
5. Прочее.

И по этой причине надо от PDF защищаться. Как? Сейчас расскажу…

Защита

Вот не полный, но важный перечень:

1. Проверяйте на virustotal.com/gui/home/upload.
2. Не используйте на Win автозагрузку и используй защищённый режим (а лучше - не используйте Win).
3. Отключите автозагрузку файлов в мессенджерах (пример), если возможно.
4. Сортируйте почтовые сообщения и не открывайте PDF без дополнительной проверки даже от коллег.
5. Используйте GMAIL и/или другие сервисы со встроенным антивирусом для публичной почты.
6. Архивируйте старые PDF и шифруйте этот архив: скажем, через Crypt3, VeraCrypt, etc.
7. Удаляйте архивы, которые больше не нужны. И очищайте корзину (для Win придётся и реестр).

В дополнение возможны, но НЕ всегда применимы, следующие механики:

1. Используйте PDF-ридер с "песочницей" (например, SumatraPDF, Okular) — минимизируют риск исполнения вредоносного кода.
2. Отключите JavaScript в настройках PDF-ридера (не везде уместно/возможно) — часто используется для атак.
3. Открывайте подозрительные PDF только в изолированной среде (например, через виртуалку или контейнер): если, конечно, умеете.

И главный совет - не верьте никому, кто отправляет PDF: знакомого/родственника - могут взломать; в публичном чате - модераторы не досмотреть; на известном сайте - подменить за счёт разного рода MIT и прочих атак и т.д.

Конечно же, не забывайте про предупреждения безопасности при открытии документов PDF! (Хотя обходятся они в продвинутых атаках относительно легко).

Дополнения

Ссылки:

• habr.com/ru/companies/rvision/articles/682088
• kaspersky.ru/blog/bezopasnost-i-pdf-fajly/807

Впрочем, Гугл или DuckDuckGo (или аналоги) подкинут вам ещё варианты, а у меня пока всё и

До!