Для обхода антивирусной проверки PDF файлов их достаточно кодировать в XDP формат

Исследователь безопасности Брендон Диксон обнаружил, что для обхода антивирусной проверки PDF файлов их достаточно преобразовать в XDP формат. Об этом он узнал случайно, когда ему прислали подозрительный файл, открытие которого спровоцировало эксплуатацию уязвимости.

«Полученный мной файл очень интересен, но он определяется одним единственным антивирусом. Я посчитал, что если воспользоваться библиотекой heavy pint , можно сделать документ в принципе не определяемым. Применив модуль drop news я смог быстро сгенерировать зашифрованный PDF файл со встроенным старым эксплоитом 2009-4324 media.newplayer с нулевым шеллкодом. Проверка файла на Virus Total выдала нулевой результат», — говорится в публикации исследователя.

Формат XDP по своей сути является вариантом PDF, который позволяет передавать данные в XML файлах. Этот формат открывается популярными приложениями, например, Adobe Reader, как обычный PDF, и позволяет web-службам и другим программам отображать XML в структурированном виде. Ввиду своих спецификаций XML не может обрабатывать бинарные данные, поэтому PDF необходимо кодировать как поток base64.

Исследователь отмечает, что известно о данной проблеме стало еще год назад, однако тогда никто не придал ей особого значения.