如何检测TrueType字体(.ttf)字体文件中的可疑内容
在将特定字体文件部署到主机之前,我对如何扫描或评估其风险感到好奇。当然,第一道防线是确保我们的主机针对任何TrueType字体漏洞进行修补。
我阅读了谷歌零项目的优秀研究,似乎值得理解字体的风险。我还阅读了汤姆·利克的回答,它建议(非常明智地)在Linux上尝试字体,然后在Windows上尝试它,因为:
很难制作一个“恶意字体”,该字体可以在Windows系统上安装病毒,但在Linux系统上“正确地”工作
最后,我安装了一个python (FontTools),它允许从一个.ttf转换为一个人类可读的.xml文件。在生成的文件中,有数百行汇编代码,因为每个.ttf文件中都存在“提示机制”。正是在此程序集代码中,攻击者才会插入漏洞。
为了进一步研究,我想将已知的坏.ttf文件(比如用来利用字体处理漏洞的文件)与已知的好.ttf文件进行比较。我想,如果没有对装配的密切了解,就很难发现这些差异,但如果有可能,我想看看,或者至少能听到这里的人的声音。因此,问题是:是否有人知道如何分析.ttf文件中的可疑命令,以及是否有人知道如何获取用于利用字体处理漏洞的.ttf文件。
回答 1
Security用户
发布于 2016-06-03 05:44:34
这是一个有趣的问题。字体文件就像其他媒体文件一样,可能被恶意软件滥用,或者在利用漏洞的尝试中被滥用。
检测此类媒体文件中的恶意块将遵循基于签名的方法:您或您的防病毒软件将查找可疑模式。
我不知道在字体文件中公开编译恶意代码。您可能必须在公共漏洞数据库的帮助下编译自己的数据库,并利用数据库进行攻击。
在另一个平台上打开不受信任的文件可能会检测到缺陷,而不会暴露环境。这是因为利用代码通常针对特定的平台,不可能在其他平台上成功。然后,错误的字体文件可能是攻击尝试的指示符。
将字体文件从一种格式转换为另一种格式基本上是代理所做的事情(应用程序网关正在使用协议来实现这一点)。严格的实现将检测错误行为并使转换失败。不那么严格的实现将忽略恶意部分并生成有效的文件,而不会留下危险。
https://security.stackexchange.com/questions/123131
复制相似问题
腾讯云开发者
