Mit über 400 Milliarden geöffneten PDF-Dateien im vergangenen Jahr ist das bekannte Dateiformat das ideale Vehikel für Cyber-Kriminelle, um bösartigen Code zu verstecken. Aktuelle Erkenntnisse aus der IT-Forensik unterstreichen dies: 68 Prozent aller bösartigen Angriffe erfolgen per E-Mail, wobei PDF-Angriffe inzwischen 22 Prozent aller bösartigen E-Mail-Anhänge ausmachen. Das hat Check Point Software Technologies im Rahmen einer wissenschaftlichen Beobachtung herausgefunden.
Hacker haben mittlerweile verstanden, wie IT-Sicherheitslösungen Dateien scannen und analysieren, und setzen ausgeklügelte Gegenmaßnahmen ein, um eine Erkennung zu umgehen. Check Point Research (CPR) hat zuletzt riesige Mengen an betrügerischen Kampagnen beobachtet, die von traditionellen Sicherheitsanbietern unentdeckt blieben und nicht bei Virustotal gemeldet wurden.
CPR deckt in der folgenden Untersuchung auf, wie Hacker PDF-Angriffe weiterentwickeln und diese an herkömmlichen Sicherheitsmaßnahmen vorbeischleusen. Die Sicherheitsforscher erklären zudem, wie man Infiltrationsversuche über PDFs verhindert, bevor sie Schaden anrichten können.
Neue Kombination aus PDF-Phishing und Social-Engineering
PDF-Dateien sind komplex. Die PDF-Spezifikation ISO 32000 umfasst rund 1000 Seiten und bietet eine Fülle von Funktionen, die für Umgehungsversuche ausgenutzt werden können. Diese Komplexität öffnet die Tür für zahlreiche Angriffsvektoren, die von einigen Sicherheitssystemen nur schwer erkannt werden können. Die Kombination aus Einfachheit für den Benutzer und Komplexität für Sicherheitssysteme macht schädliche PDFs für Kriminelle so attraktiv. In den letzten Jahren sind diese immer besser geworden. Zuvor nutzten Cyber-Kriminelle bekannte Schwachstellen in PDF-Readern (CVEs), um Fehler in der Software auszunutzen. Da PDF-Reader jedoch sicherer geworden sind und häufig aktualisiert werden, ist diese Angriffsmethode für groß angelegte Kampagnen weniger zuverlässig.
Doch die Hacker haben sich schnell angepasst: Anstatt komplexe Exploits zu verwenden, setzen viele Angriffe nun auf einen einfacheren, aber effektiven Ansatz – Social Engineering. Cyber-Kriminelle greifen beim Phishing häufig auf PDFs zurück, weil das Format weithin als sicher und zuverlässig gilt. Die Dateien werden in der Regel als echte Dokumente wahrgenommen und dienen ihnen als Container für schädliche Links, verseuchten Code oder andere bösartige Inhalte. Die Angreifer nutzen das Vertrauen der Nutzer in PDF-Dateien für Social-Engineering-Taktiken aus und erhöhen so ihre Chancen, die Empfänger zu täuschen. Darüber hinaus können sie PDFs an E-Mail-Sicherheitssystemen vorbeischleusen, die sich eher darauf konzentrieren, Bedrohungen in anderen Dateitypen als PDFs zu erkennen.
Die Anatomie einer PDF-Angriffskampagne
Eine der häufigsten PDF-Angriffstechniken, die Check Point Research beobachtet hat, sind auf Links basierte Kampagnen. Diese sind einfach, aber äußerst effektiv. Sie beinhalten in der Regel eine PDF-Datei, die einen Link zu einer Phishing-Website oder dem Download einer schädlichen Datei enthält. Oft wird der Link von einem Bild oder einem Text begleitet, der das Opfer verleiten soll, darauf zu klicken. Diese Bilder enthalten oft Nachahmungen vertrauenswürdiger Marken, wie Amazon, Docusign oder Acrobat Reader, sodass die Datei auf den ersten Blick harmlos aussieht.
Kampagnen wie diese sind schwer zu erkennen, weil die Angreifer alle Aspekte des Links, des Textes und des Bildes kontrollieren und diese Elemente leicht ändern können. Diese Flexibilität macht diese Angriffe resistent gegen Sicherheitsprogramme, die nach der Reputation, also dem guten Ruf einer Domain, filtern, oder solchen, die auf statischen Signaturen basieren. Obwohl diese Angriffe menschliche Interaktion erfordern, ist dies oft ein Vorteil für Angreifer, da Sandboxes und automatisierte Erkennungssysteme mit Aufgaben zu kämpfen haben, die menschliche Entscheidungen erfordern.
Die Verschleierungstechniken der Hacker
Der offensichtlichste Hinweis darauf, dass eine PDF-Datei bösartig sein könnte, ist der darin enthaltene Link. Um nicht entdeckt zu werden, verwenden Bedrohungsakteure eine Reihe von URL-Umgehungstechniken, wie:
- Verwendung harmloser Umleitungsdienste: Angreifer verwenden häufig bekannte Umleitungsdienste, wie Bing, LinkedIn oder die AMP-URLs von Google, um das wahre Ziel des bösartigen Links zu verschleiern. Diese Dienste werden von Sicherheitsanbietern häufig auf eine Whitelist gesetzt, was es für URL-Reputationssysteme schwieriger macht, die Bedrohung zu erkennen.
- QR-Codes: Eine weitere Technik besteht darin, QR-Codes in PDFs einzubetten, die das Opfer mit seinem Handy scannen soll. Dieser Ansatz umgeht herkömmliche URL-Scanner vollständig und macht den Angriff noch komplexer (Beispiel in Abbildung 1).
- Telefonbetrug: In einigen Fällen setzen Angreifer auf Social Engineering, um Opfer zu verleiten, eine Telefonnummer anzurufen. Bei diesem Ansatz ist keine verdächtige URL erforderlich, dafür aber menschliche Interaktion in erheblichem Maß.
Umgehung der statischen Analyse
PDF-Dateien haben eine komplexe Struktur und viele Sicherheitstools verlassen sich auf statische Analysen, um bösartige Aktivitäten zu erkennen. Diese Methode ist jedoch nicht immer wirksam gegen ausgeklügelte PDF-basierte Angriffe. Angreifer können den Inhalt der Datei verschleiern, was die Analyse durch Sicherheitstools erschwert. PDFs verwenden beispielsweise Anmerkungen, um anklickbare Bereiche (z. B. Links) zu definieren. Diese Anmerkungen können jedoch auf eine Weise codiert werden, die für statische Analysetools schwer zu erkennen ist. Angreifer könnten sogar die geringfügigen Unterschiede zwischen der Interpretation dieser Anmerkungen durch PDF-Reader ausnutzen, sodass automatisierte Systeme die böswillige Absicht übersehen.
Zudem können PDFs stark verschleiert werden, sodass böswilliges Verhalten nur schwer zu erkennen ist. Angreifer verwenden häufig Verschlüsselung, Filter und indirekte Objekte, um ihre wahren Absichten zu verbergen. Diese Techniken können zwar dazu führen, dass die Datei beschädigt oder verdächtig erscheint, aber viele gängige PDF-Reader sind so konzipiert, dass sie Robustheit vor der strikten Einhaltung der PDF-Spezifikation priorisieren, sodass solche Dateien für den Benutzer korrekt geöffnet werden können, aber von automatisierten Systemen nicht erkannt werden.
Umgehung von maschinellem Lernen
Da Sicherheitssysteme bei der Erkennung von Bedrohungen zunehmend auf maschinelles Lernen (ML) setzen, finden Angreifer Wege, diese Modelle zu umgehen. Eine gängige Technik ist das Einbetten von Text in Bilder anstelle der Verwendung von Standardtextformaten, wodurch Sicherheitssysteme gezwungen sind, sich auf die optische Zeichenerkennung (OCR) zu verlassen, um den Text zu extrahieren, was zu mehr Fehlern und Verzögerungen führt. Angreifer können die Bilder sogar manipulieren, indem sie Dateien von geringer Qualität verwenden oder Zeichen auf subtile Weise verändern, um die OCR-Software zu verwirren.
Darüber hinaus können Angreifer unsichtbaren oder extrem kleinen Text hinzufügen, um NLP-Modelle (Natural Language Processing) zu täuschen, was es für Sicherheitssysteme schwieriger macht, die wahre Absicht des Dokuments zu verstehen.
CPR empfiehlt folgende Maßnahmen, um sich vor PDF-basierten Angriffen zu schützen:
- Immer den Absender prüfen: Auch wenn die PDF-Datei noch so legitim erscheint, sollte man die E-Mail-Adresse des Absenders überprüfen. Cyber-Kriminelle geben sich oft als bekannte Marken oder Kollegen aus, um ihre Opfer dazu zu bringen, der Datei zu vertrauen.
- Vorsicht bei Anhängen: Wer keine PDF-Datei erwartet, sollte diese zunächst als verdächtig einstufen – insbesondere solche, in denen man aufgefordert wird, auf einen Link zu klicken, einen QR-Code zu scannen oder eine Nummer anzurufen. Im Zweifelsfall sollte man den Link oder das Dokument gar nicht erst anklicken.
- Der Mauszeiger-Test: Bevor man auf einen Link in einer PDF-Datei klickt, sollte man den Mauszeiger darüber bewegen, um die vollständige URL zu sehen. Bei verkürzten Links oder solchen, die Weiterleitungsdienste, wie Bing, LinkedIn oder Google AMP verwenden, sollte man skeptisch sein.
- Einen sicheren PDF-Viewer verwenden: Moderne Browser und PDF-Reader verfügen oft über integrierte Sicherheitsfunktionen. Daher sollte man diese stets auf dem neuesten Stand halten und vermeiden, PDFs in obskurer oder veralteter Software zu öffnen.
- JavaScript in PDF-Viewern deaktivieren: Wenn ein PDF-Reader JavaScript unterstützt (was bei vielen der Fall ist), sollte man es deaktivieren, es sei denn, es ist unbedingt erforderlich. Dadurch wird das Risiko von Skript-Angriffen verringert.
- Systeme und Sicherheitstools unbedingt auf dem neuesten Stand halten: IT-Verantwortliche sollten sicherstellen, dass Betriebssysteme, Browser und die Antivirensoftware regelmäßig aktualisiert werden. Patches schließen oft Schwachstellen, die in bösartigen PDFs ausgenutzt werden.
- Auf das eigene Bauchgefühl hören: Wenn eine PDF-Datei eine ungewöhnliche Formatierung und Tippfehler aufweist, nach Anmeldedaten fragt oder zum Login über einen eingebauten Link aufruft, handelt es sich wahrscheinlich um eine Falle.
Check-Point-Threat-Emulation und Harmony-Endpoint bieten einen robusten Schutz vor verschiedenen Angriffstaktiken, Dateitypen und Betriebssystemen und schützen vor verschiedenen Bedrohungen, wie in diesem Bericht beschrieben.
Info: Weitere Informationen finden sich hier: https://blog.checkpoint.com/research/the-weaponization-of-pdfs-68-of-cyberattacks-begin-in-your-inbox-with-22-of-these-hiding-in-pdfs/
#Check Point
powered by Borlabs Cookie 