PDFs concatenados: um truque simples que confunde os motores antimalware e os sistemas de IA

Para compreender como funciona um ataque de concatenação, é necessário compreender primeiro como os analisadores de PDF leem um documento.

Quando um leitor de PDF abre um ficheiro, segue uma sequência definida: localiza o último marcador de fim de ficheiro, lê o ponteiro startxref, utiliza-o para localizar a tabela de referências cruzadas (xref) e o trailer e, em seguida, reconstrói o documento através da resolução dos deslocamentos dos objetos. Este desenho é intencional, permitindo que os leitores localizem instantaneamente objetos em documentos de grande dimensão sem terem de percorrer todo o ficheiro.

Durante uma investigação sobre segurança interna, OPSWAT que a junção de dois ficheiros PDF totalmente distintos num único ficheiro resulta num documento que diferentes analisadores interpretam de formas fundamentalmente diferentes. O que começou por ser uma curiosidade estrutural revelou uma técnica de evasão significativa e reproduzível que, até então, tinha passado praticamente despercebida. O ficheiro resultante contém duas estruturas de documento independentes, cada uma com o seu próprio cabeçalho, tabela de referências cruzadas, final de documento e marcador de fim de ficheiro.

Isto é conceptualmente semelhante às técnicas de exploração de analisadores sintáticos já observadas em ficheiros de arquivo, nas quais a ambiguidade estrutural é utilizada para ocultar conteúdo malicioso das ferramentas de segurança. No caso dos PDFs, as consequências vão mais além: não só os scanners de segurança discordam quanto ao conteúdo do ficheiro, como a versão que os utilizadores acabam por ver no seu leitor de PDF pode ser totalmente diferente da versão que foi inspecionada.

Foi criada uma demonstração de viabilidade utilizando duas secções de PDF: a primeira com instruções para desenhar um retângulo e a segunda com instruções para desenhar um círculo.

Os leitores de PDF mais comuns, incluindo o Adobe Reader, o Foxit Reader, o Chrome e o Microsoft Edge, localizam o último ponteiro «startxref» no ficheiro, que faz referência à estrutura do documento anexado (o segundo). Estes programas representam a instrução do círculo.

As implicações de segurança desta ambiguidade estrutural foram comprovadas através de testes diretos realizados com a plataforma OPSWAT , que agrega resultados de vários motores antivírus.

Um ficheiro PDF com conteúdo de phishing e hiperligações maliciosas foi submetido a 34 motores antivírus. Oito motores identificaram corretamente o conteúdo malicioso.

Foi anexado um ficheiro PDF vazio e em branco ao início do ficheiro PDF de phishing, de modo a criar um documento concatenado. O ficheiro combinado foi submetido aos mesmos 34 motores.

À medida que o processamento de documentos baseado em IA se integra nos fluxos de trabalho das empresas, esta ambiguidade estrutural introduz uma categoria distinta de risco, para além da disseminação convencional de malware. As organizações recorrem cada vez mais a grandes modelos linguísticos para analisar documentos, extrair informações e apoiar a tomada de decisões. Se esses sistemas interpretarem uma versão diferente de um documento daquela que um utilizador humano vê, as consequências vão muito além de um link de phishing não detetado.

Testes realizados com o mesmo PDF concatenado demonstraram que as principais plataformas de IA interpretam o ficheiro de acordo com a mesma lógica dependente do analisador sintático observada nas aplicações de leitura tradicionais.

O GPT determinou a estrutura do primeiro documento no ficheiro e extraiu o conteúdo da secção oculta inserida no início. Leu e executou a instrução «rectangle», que não corresponde ao conteúdo visível para um utilizador que abra o ficheiro no Adobe Reader.

Tanto o Gemini como o Claude analisaram a estrutura do segundo documento e extraíram o conteúdo de forma consistente com o que os utilizadores vêem no Adobe Reader. Embora este seja o comportamento esperado do ponto de vista da experiência do utilizador, isto demonstra que os sistemas de IA estão sujeitos às mesmas diferenças de análise estrutural que os leitores convencionais.

A tecnologiaOPSWAT CDR™ trata todos os ficheiros como potencialmente maliciosos. Em vez de tentar detetar padrões maliciosos específicos, a tecnologia Deep CDR™ desconstrui cada ficheiro, valida a sua estrutura interna em relação às especificações oficiais do formato, remove todos os elementos que não estão em conformidade ou que não se enquadram na política definida e regenera um ficheiro limpo e totalmente utilizável. Esta abordagem combate o ataque de PDF concatenado na sua origem estrutural.

A tecnologia Deep CDR™ previne esta técnica de ataque graças à sua capacidade de verificação da estrutura do ficheiro. Ao processar um PDF concatenado, a tecnologia Deep CDR™ identifica a anomalia estrutural: a presença de múltiplas estruturas de documentos independentes, múltiplas tabelas de referências cruzadas, múltiplos trailers e múltiplos marcadores de fim de ficheiro numa configuração que não está em conformidade com um único documento PDF válido. Em seguida, remove os elementos conflitantes e reconstrói o documento utilizando apenas a camada de conteúdo verificada e segura.

A captura de ecrã seguinte, provenienteMetaDefender o resultado da análise da tecnologia Deep CDR™ para o ficheiro PDF de phishing concatenado. Com a tecnologia Deep CDR™ configurada e aplicada, o sistema identificou e tomou medidas relativamente a cada elemento que violava a estrutura de ficheiros esperada ou a política de segurança. 

Em ambientes onde é necessário conciliar a usabilidade com a segurança, a tecnologia Deep CDR™ opera no Modo de Sanitização Flexível. O sistema não bloqueia o ficheiro. Em vez disso, realiza uma reconstrução estrutural: as secções do documento que causam conflito são removidas, todos os objetos ativos e potencialmente maliciosos são eliminados e é regenerado um PDF limpo e em conformidade com as políticas, que é entregue ao utilizador. A experiência do utilizador é preservada, ao mesmo tempo que a superfície de ataque é eliminada.

Cada ficheiro processado pela tecnologia Deep CDR™ gera um relatório de sanitização forense que documenta quais os objetos identificados, quais as medidas tomadas e porquê. Conforme ilustrado na Figura 11, este relatório fornece um registo de auditoria completo de todas as anomalias estruturais e violações de políticas tratadas. Para os responsáveis pela conformidade, os responsáveis pela privacidade e os consultores jurídicos, este relatório constitui a prova documentada de que os ficheiros que entraram no ambiente foram processados de acordo com uma política de segurança consistente e verificável, e de que qualquer desvio em relação à estrutura de ficheiros esperada foi registado e corrigido.

Enquanto a tecnologia Deep CDR™ mitiga o risco através da limpeza e reconstrução do documento, OPSWAT Adaptive Sandbox Aether) aborda o problema de um ângulo fundamentalmente diferente: realiza uma análise comportamental aprofundada de todas as estruturas possíveis do documento dentro do ficheiro. Enquanto a tecnologia Deep CDR™ elimina a ameaça antes de o ficheiro chegar ao utilizador,Sandbox Adaptive Sandbox o ficheiro num ambiente controlado e observa exatamente o que este foi concebido para fazer.

No caso de PDFs concatenados,Sandbox Adaptive Sandbox baseia numa única interpretação do analisador. Em vez disso, realiza uma análise sensível à estrutura para identificar que o ficheiro contém, de facto, vários documentos PDF válidos anexados em conjunto. Isto impede diretamente que os atacantes ocultem conteúdo malicioso por trás de inconsistências do analisador. A análise decorre em três fases:

1.Extração: Cada documento PDF incorporado é extraído individualmente da estrutura concatenada. Nenhuma camada do documento é considerada como a versão oficial. Todas as secções presentes no fluxo binário são identificadas e isoladas para inspeção independente.