俗话说:"表象具有欺骗性"。这句谚语同样适用于数字内容,怀有恶意的人可以欺骗我们的眼睛,让我们相信他们想让我们在网上看到的东西。为了说明这个案例,我们的团队在分析恶意软件样本时,偶然发现了一个有趣的案例,其中涉及 PDF 文件、敏感信息和潜在的数据泄露。
一张图片,还是两张?
我们有一个文件,其中包含一张荒芜海滩的图片,看起来是这样。
文件看起来没什么问题。没有任何可疑之处。但在通过 Deep CDR(内容解除和重构)引擎后,我们发现实际上有两张图片:
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
当我们在文本阅读器中打开文件时,发现指向第二张图片的标签被隐藏了:
备用标记,指定打印时默认使用的图像:
<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
隐藏图像由该标记定义:
14 0 obj <</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>>
在 PDF 中使用备用标记,可以让作者定义打印时显示的图像。这就意味着,如果第二张图片中有敏感信息,有人可以将其传递给外部来源,并通过点击打印按钮来查看。打印文件后,我们在纸上看到了以下内容。打印出来的文件包含三个信用卡号码,这可能是敏感的个人身份信息 (PII)。
从这个例子中可以看出,这种策略可能会被用来暴露机密信息,造成数据泄露或违反法规。更糟糕的是,坏人可以利用这种伎俩让其他人在不知情的情况下传递敏感信息。鬼鬼祟祟,不是吗?
我们如何处理隐藏的敏感信息?
社会安全号、信用卡号、IPv4 地址或无类别域间路由 (CIDR) 等敏感信息很容易受到数据泄露和违反法规的影响。
防止数据丢失和数据暴露的良好做法是不断检查传输的文件内容。 OPSWAT Proactive DLP(数据丢失防护)可检测并阻止文件和电子邮件中的敏感和机密数据。从网络应用程序上传或下载的每个文件,或通过网络代理、安全网关、网络应用程序防火墙和存储系统传输的文件,都可以在使用前通过Proactive DLP 进行彻底检查。
保护敏感信息,防止数据丢失Proactive DLP
Proactive DLP 可检测并阻止 30 多种受支持文件类型中的敏感数据。检测到的 PDF、MS Word 文档和MS Excel 电子表格中的敏感信息将被自动编辑。
Proactive DLP 可利用光学字符识别(OCR)技术检查基于图像的敏感信息,以检测和编辑纯图像 PDF 文件或内嵌图像的 PDF 文件中的机密数据。该技术还能删除包含潜在机密信息(如姓名、公司、主题、GPS 位置、作者等)的元数据。最终编辑的文件将包含水印,以增强安全性、责任性和可追溯性。
Proactive DLP 是数据丢失防护领域的OPSWAT 技术,也是数据丢失防护领域的关键解决方案之一。 MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk和 MetaDefender Managed File Transfer.要了解有关Proactive DLP 以及OPSWAT 如何保护贵组织的更多信息,请与我们的关键基础设施网络安全专家联系。
*特别感谢彼得-西蒙(Peter Simon)发现并处理这个案例。Simon 是我们Proactive DLP 团队中一位才华横溢、兢兢业业的软件工程师。
