Selbst generierte Dateien, die mit der Virusdefinition übereinstimmen
Symptom
Selbstgenerierte Dateien, die mit der Virusdefinition übereinstimmen.
Die Verwendung von Anwendungen, die Dokumentdateien aus Informationen aus einem Portal oder einer Weboberfläche generieren, ist weit verbreitet und wächst.
Diese Dateien sind in der Regel sehr anfällig für falsch positive Auslöser und häufiger Signatur Kollisionen. Dies liegt daran, dass die Anwendung die nicht verwendeten Einstellungen selten aus dem Portal bereinigt und alle zusätzlichen Daten in das Dokument ableitet. Sie ist nicht sichtbar, wenn sie von einem Dokumentleser geöffnet oder angezeigt wird. Aber wenn die Datei in einem einfachen Texteditor geöffnet wird, sind die zusätzlichen Daten deutlich sichtbar.
Environment
Dies geschieht in jeder Umgebung, in der Anwendungen zum Erstellen von Dokumenten aus eingegebenen Informationen, z. B. über ein Portal oder eine Weboberfläche, verwendet werden.
Cause
% PDF-1 .4 Scharf gescanntes BildPDF
%Scharf
nicht-Verschlüsselung 3 0 obj
/Typ /Seite
/Parent 1 0 R
/Resources 4 0 R
/Inhalt 5 0 R
/MediaBox [0 0 613.440 792.000]
>>
endobj
4 0 obj
/ProcSet [/ PDF /ImageB]
/XObject < /Img1 6 0 R >> >>
endobj
5 0 obj
/Filter /FlateDecode
/Length 36
>> stream
x'334Ö311P AsK'=';9—Kß37'P'%' x×#k
endstream
endobj
6 0 obj
/Type /XObject
/Subtype /Image
/Name /Img1
/Filter /CCITTFaxDecode
/DecodeParms < / K -1 /Columns 1704 /Rows 2200 >>
/Width 1704
/Height 2200
/BitsPerComponent 1
/ColorSpace /DeviceGray
/Length 7 0 >> × stream R
D ÌÔ O <&|h—#ù=Iq#sãô#×EÃFv##í#Úi„#t’,wÒ#ê¡:#6°ƒi# FÆ "l"c"a"-"&™"-"D"."#3 #flƒGg" R †... Ûû¥ïÛÿûÿç·s97ÉŽ±Òß× Ç ##ëHºOTÂpÓZøïú× Ü �æ#ýGÿñ ké#'ZÌᥥüðúþ'#ö? #HÙ0ÂT#,%ï#'#Ð_¿ � A 'c# Õ # Ì 'x"ž�Ÿý&ÈëÊ/ I #'# Ê }¡##\ ËP ¯_øg€� X ¯^' A $5MW2@b××ÿ£ßúM¤' H $ Ž %• É .#Šv?úõ6Øa-mpE <#OJñ¬úáC#ýÿâØ# ÅG #"Õ1\|( "××"h5" ,,.###, D "4" " < ÄDJ "r"@ezè.......
Wie man sieht, richtet diese Art von Dokument das Format ein und wechselt dann zum Stream, der den Dokumenttext in einem verschlüsselten Format enthält.
In einem generierten Dokument ist dies sehr unterschiedlich.
% PDF-1 .6
103 0 obj
h"";k'1'... Œ À "Yv" * "X" & Õ O Ž T ÊPX "#N91  K ×" ¥1÷
Ñ '#2' Y ÂÑ ™é, #aö#Wˆr#7fã±#b , L #ànbCáä9. T W "×J"-T-1"1""#Èøgä". Óþôkùv|# Ï ¾ V #^_–ép9ÿ~ÜzûÓér{» R p7# Ö ' Ü " <¢ F ´ˆ#1Gl{¯ O ¸ EP ,(### Š # Å 'bAP <(### Š #ŃâP <(#”#”ºQ~ N ; "Ö" (Ö) Þ ,×$yO®÷ #eúz|,"×" HD
EndStream
Ìh-±
EndStream
hÞ <‹ Ë
Â0# E å.+# I ¡‹# J @#WBEú#±Œt #™þ½AÁÝáÞsFXL#& Ì ³9çš#½¹°#m« ÅÝ \ý#×÷‹ÌR5p¢â\#Nèí÷ºy¡– Ž ?�5P·î\# H •#�4cËéÉ#¡»Wä*ˆ##$ǃs### s(Ë
EndStream
h-tPMk-0+>n—( ÎWW (†-[ K #c-ö-#rpSQ:Ö8-d-r-i-i?? IOOO "Y" 2"#l" "#l" "3/47" JÓ ±"ÄQ"+xBq3" ØÂ "N"ßj- M
Ja" #m Ž $K"#t $K"#HâÅ" "ä,ß®ß""O"+#1/4M" 1/2ö #å'™''-ÖrmM'''A'a'o-'>Ï_''nu'cl'™' QŽ Ž ÔÏ R E <*#áývqÍ|Ìö¯ Û À #
EndStream
h-Ko-Ko-9-†-™* B "6" E @š•a" CÐ †#vp 2 É " ß'1I€" "80FQ
©" | #d Á , Ê Õ E À FT Û ± " #t" . > KÀ G >[-_v,-,"× Š #öE N ±|" D <KžÝˆºÖmÅ}^ÞëÛMú¾ ¿¡ÅBæ
I
<## Þ Ý VËYY #R
EndStream
hÞÔU]o›0#ý+þ##þi¤ I �ö@#¶"%##é´?ß‹m##Yš—i##ƒï½'Çöõ '"0FbN˜ L ##çŒ0Ex* ÓDè"hF$7ƒÉÒT'ÛÛh–5ùCU¶Ñc¾}ËÛb� E #Ëuµ) ÊŸÑ ×¢üP6... > <Zš#Ãg#¥ww! Ï ""q'm'=e»#ƒ—"x973j»#g »g; Ù .o – ÞÜ ,a] VŽS - Å ... š^²ý�¹)_emÓÕ¾dóÕ;d <å¿ PÈ —gÜ£ÏËé"{(ꦽÍjB'mž7ëºØ· UM #�â?e6�+Õk¨#ùÒ‰ ÁBà ¼i_›oqœ� ®(# B #¥# Q ""#5�ÄLr" AL €' L }# Œ #wEƒç‰i#3Ÿ
j.#'ZÇ8ºw×è
÷dèGÒì'‡÷#º"�ú#ä�÷# X = Ú #c'väîˉ#¥ É #n#(ˆ5,]û6psçÜH*qìFìÔ�dpDCÀBÝ S #Ïi1U� Û ¯§ù�) Œ ## ~ûb3š'3£i#3ú# À å#yÅ
EndStream
x-+ T . . © TÐ . ##
EndStream
<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.6-c017 91.164464, 2020/06/15-10:20:05 ">
<rdf:RDFxmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns"">
<rdf:Description rdf:about=""
xmlns:xmp="http://ns.adobe.com/xap/1.0/"
xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/"
xmlns:dc="http://purl.org/dc/elements/1.1/"
xmlns:pdf="http://ns.adobe.com/pdf/1.3/"
xmlns:pdfx ="http://ns.adobe.com/pdfx/1.3/"
xmlns:adhocwf="http://ns.adobe.com/AcrobatAdhocWorkflow/1.0/">
<xmp:ModifyDate>2020-09-28T12:23:32-05:00</xmp:ModifyDate>
<xmp:CreateDate>2017-05-04T16:52:12-05:00</xmp:CreateDate>
<xmp:MetadataDate>2020-09-28T12:23:32-05:00</xmp:MetadataDate>
<xmp:CreatorTool>Acrobat PDFMaker 11 für Word</xmp:CreatorTool>
<xmpMM:DocumentID>uuid:16dfb-b3fb-41 86-a8db-c6647d7</xmpMM:DocumentID>
<xmpMM:InstanceID>uuid:c658806f-41ac-b6f9-58064eb927</xmpMM:InstanceID>
<xmpMM:subject>
<rdf:Seq>
<rdf:li>7</rdf:li>
</rdf:Seq>
</xmpMM:subject>
<dc:format>anwendung/pdf</dc:format>
<dc:title>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:title>
<dc:description>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:description>
<dc:creator>
<rdf:Seq>
<rdf:li></rdf:li>
</rdf:Seq>
</dc:creator>
<pdf:Producer>Adobe PDF Library 11.0; geändert mit iTextSharp 4.1.6 von 1T3XT</pdf:Producer>
<pdf:Keywords/>
<pdfx:SourceModified> D :20170504215149</pdfx:SourceModified>
<pdfx:Company></pdfx:Company>
<adhocwf:state>1
<adhocwf:version>1.1
RDF >
</adhocwf:version> </adhocwf:state></x:xmpmeta>
<?xpacket end="w"?>
EndStreamWie in diesem Beispiel zu sehen ist, werden noch viele weitere Elemente festgelegt und viele weitere ungenutzte Elemente, die von Feldern übrig geblieben sind, die nicht ausgefüllt sind. Es gibt auch Verweise auf mehrere URLs. URL Verweise sind auch für viele schädliche Dateien üblich und ist eines der häufigsten Elemente sowohl für generierte Dokumente als auch für Malware-Dokumente.
RTF
Dies ist ein Beispiel für eine RTF aus einer Anwendung generierte Anwendung, die Daten aus einem Portal sammelt.S.rf1-adeflang1025-ansi-ansicpg1252-uc1-adeff0-deff0-stshfdbch0-stshfloch0-stshfhich0-stshfbi0-deflang1033-deflangfe1033-themelang10 33'themelangfe0'themelangcs0'fonttbl'f0'fbidi'froman'fcharset0'fprq2'*'panose 02020603050405020304'Times New Roman'*'falt
.f1'fbidi 'fswiss'fcharset0'fprq2'*'panose 020b060402020202020204'Arial'*'falt Arial';' .f2'fbidi 'fmodern'fcharset0'fprq1'*'panose 02070309020205020404'Courier New'*'falt Courier New';'
.f3'fbidi 'froman'fcharset2'fprq2'*'panose 05050102010706020507'Symbol'*'falt-Symbol';' .f10,fbidi , fnil,fcharset2, fprq2* , 050000000000000000000000000 .f34-fbidi-"froman"-Fcharset0-Fprq2-"Panose 02040503050406030204"-Cambria-Mathematik;
-f37-fbidi-fswiss-fcharset0-fprq2-*-panose 020f0502020204030204,-Calibri; "flomajor" (f31500,"-fbidi"-Aussen-Fcharset0-Fprq2-"Panose 02020603050405020304"Times New Roman*,falt Times New Roman;"
.fdbmajor-f31501-fbidi-Fbidi-"froman"-Fcharset0-Fprq2-"Panose 02020603050405020304"Times New Roman*-falt Times New Roman";" .fhimajor-f31502-fbidi-"froman"-Fcharset0-Fprq2-*-Panose 02040503050406030204-Cambria;
"revtim" ("revtim"-Jahre2020-"Version3"-Version3-"Din14"-Min10-Printim-"Jahre" ,,-mo11-dy4-"nr13"-"min29"-Version3-Edmins3-"nofpages3"-Nofwords541-"nofchars3089"*-Firma Alte Co. Nofcharsws3623 Vern87 Xmlns1 http://schemas.microsoft.com/office/
word/2003/wordml-paperw12240-paperh15840-margl576-margr576-margt864-margb576-gutter0-ltrsectIn diesem Beispiel gibt es viele verschiedene Zeichensätze und Konfigurationseinstellungen werden wiederholt. Auch der URL-Verkehr, während zu einer bekannten sauberen Website zu gehen, ist nicht etwas, das normalerweise in einem einfachen gesehen RTF wird.
Resolution
Schlussfolgerung
All diese zusätzlichen und abnormalen Daten tragen zu einer hohen Falsch-Positiv- und Signaturkollisionsrate bei.
MinderungDie beste Abschwächung besteht darin, dass die Anwendung diese Dateien mit einem digitalen Zertifikat signieren und das Zertifikat auf die weiße Liste setzt. Es kann zeitaufwändig sein, den Entwickler dazu zu bringen, dies zu tun, aber es ist die sicherste Abschwächung.
Viele Anwendungen, die Dokumente erstellen, ziehen und platzieren die Dateien auf mehreren Servern oder mehreren Clients, was die Whitelisting eines oder des anderen schwierig macht. Der Datenverkehr für diese generierten Dateien kann manchmal von der Anwendung auf die Whitelist gesetzt werden. Die Whitelisting-Anwendung ist der nächstsicherste Modus und kann mit einer einfachen Regel ausgeführt werden.
Wenn die Dokumenterstellungsanwendung nicht in den Protokollen angezeigt wird und die Dokumente aus einer internen Quelle generiert und/oder an ein internes Ziel gesendet werden, ist die Whitelist der gemeinsamen Single IP die nächstbeste Lösung. Dies kann mit einem anderen Regeltyp erreicht werden.
Beachten Sie mit einer dieser Regeln die AV und Wildfire Profile werden weggelassen. Sie müssen die Überprüfung dieser Datei für AV und Wildfire deaktivieren.