英国计算机应急响应小组(UK Government’s Computer Emergency Response Team)6月22日发布消息称,攻击者把恶意PDF文件封装到XDP格式文件中,以此规绕过防病毒网关的查杀。
XML Data Package(XDP) 是Adobe的一种基于XML的文件格式,文件名后缀为XDP,它是一种把PDF格式的文件内容封装在XML容器的机制。XML是一种文本格式,PDF文件是二进制格式,因此在将PDF文件以XML格式封装在XDP文件之前必须先将PDF文件编码为文本格式。在XDP文件格式中将二进制格式的PDF包编码为文本格式最常用的方式是base64编码。当时使用Adobe Reader打开XDP文件时,就像打开原始的PDF一样。

当然,杀毒厂商Sophos说在客户端,用户打开xdp时会释放PDF,在那个时候Sophos可以对PDF进行查杀。但是,这样一种通过XDP的嵌套手段确实已经绕开了防病毒网关的防护。毕竟当恶意PDF到达了客户端PC机上就已经有很多手段规避杀毒了,例如免杀。但是如果在防病毒网关能够检测的话,防病毒网关可以搞多个杀毒引擎来查,或者沙盒什么的。而现在这样一种绕过。的确就减弱了一道防线了。

源链接

Hacking more

...