保存潜在(可能)恶意PDF以进行分析的行业标准实践是什么？

Question

我收到了一封附有PDF的电子邮件，里面有很多恶意附件的迹象。由于目前缺乏分析它的时间和资源，我想把它储存起来供以后使用，并可能与另一位研究人员分享。考虑到我使用的至少一个邮件客户端可以在我主动单击附件之前预览附件，那么存储这个潜在恶意附件的推荐过程是什么？

我应该使用一个网络邮件客户端，并下载该文件，然后立即压缩吗？我是否应该以另一种方式对文件进行GPG或加密，以防止文件系统触发某些自动打开的有效负载？我是否应该为邮件客户端创建一个包含我的凭据的VM (似乎是一个潜在的坏主意，VM是否应该被破坏)，并在那里下载文件？

这与这个问题不同，因为我希望存储(和传输)这些潜在的恶意PDF。

如果这很重要，我正在考虑在以后的分析中使用PDF工具，迪迪埃·史蒂文斯。

Answer 1

不要在普通机器上下载它，因为各种服务可能会尝试访问它以进行索引或预览，这是可以利用的。但是无论如何，您期望恶意PDF会有多高呢？你的对手是谁？答案将决定答案是否只是复制它与您的AV启用，或如果您需要在一个专门的空隙测试机器。

商业间谍活动在风险方面通常可以与民族国家相媲美。如果您是一家大公司或从事高风险业务，请考虑找一个专门的安全团队来处理这一问题。如果有疑问，使用空隙系统进行分析。Qubes使用虚拟化实现隔离，在必要时为每个应用程序创建一个新的虚拟机。虽然它依赖于Xen，Xen 0天可以很容易地脱离单个VM，但在空隙机器上使用它是相当安全的。

PDF解析器以不安全著称，因此，即使技术水平中等的攻击者在打开PDF时也不难实现任意代码执行。