恶意PDF文件上传

Question

我有一个web服务器供我的客户上传他们的PDF文件。我也有一个IDS/IPS与反恶意软件许可证，这是在用户和web服务器之间，并阻止恶意PDF文件上传。问题是，如果它检测到一个没有再次看到它的pdf文件(这意味着它的SHA)，它允许上传它，然后在一个专用的沙箱云环境中发送它进行分析。但是由于它允许文件，所以我试图使用运行在web服务器上的代码片段“阻止”包含Javascript或嵌入式文件的PDF文件。除了这件事之外，还有什么我应该考虑阻止的吗？

Answer 1

通过转换器将它们全部运行到PDF/A格式中。

它禁止任何类型的活动内容。

如果他们不皈依，就把他们毁了。

具有反恶意软件许可证的IDS/IPS

扫描是一场失败的战斗。不管你的扫描仪知道要找什么，总会有一些它不知道要找的新东西。

专用沙箱云环境

这对于一般恶意软件是有用的，但对于目标恶意软件则没有用，因为目标恶意软件只在目标存在的情况下才会执行它的有效负载。

如果您想确保文件在打开时不会做任何坏事，请确保它不包含任何可执行文件。您可以通过自己运行对不可执行的PDF/A的转换来做到这一点。这将创建一个新的、干净的PDF文件，根据定义，该文件不会被感染，因为您创建了它。

Answer 2

几乎不可能阻止恶意PDF文件的上传，因为脚本需要能够检测到恶意内容。有人可以压缩和加密病毒，该病毒可以保存在PDF中，如果没有解密密钥，任何分析都无法检测到。应该在服务器上运行防病毒/特洛伊木马程序套件(例如Malwarebytes字节)来隔离(包括删除)发现的任何受感染的文件，这样它们就不会在上传后造成任何伤害。您可以阻止所有上传，以确保恶意内容无法通过。

恶意PDF文件通常用于针对PDF查看器(或其他流行的文件打开程序)中的漏洞，因此在上载服务器上安装任何PDF查看器或其他客户端应用程序(例如Adobe应用程序、Microsoft Office Application (通常是零天漏洞攻击的目标))都很好。服务器上的所有浏览器都应该尽可能地被锁定(在某些浏览器中可以查看PDF文件，如果配置这样做的话，可能会触发引导捕获的有效负载)，并确保没有使用JavaScript程序，比如NodeJS。