it-swarm-eu.dev

Jak skenovat malware PDF)?

Může někdo navrhnout automatizovaný nástroj pro skenování souboru PDF=), aby se zjistilo, zda může obsahovat malware nebo jiné „špatné věci“? Nebo alternativně přiřadí PDF úroveň rizika?

Dávám přednost bezplatnému nástroji. Musí být vhodný pro programové použití, např. Z příkazového řádku Unixu, aby bylo možné automaticky skenovat soubory PDF a na základě toho provádět akce. Webové řešení může být také v pořádku, pokud je skriptovatelné.

39
D.W.

Velmi snadné.

Didier Stevens poskytl dva open-source skripty založené na Pythonu, které provádějí analýzu malwaru PDF malware). Existuje několik dalších, které také zdůrazním.

Primární, které chcete spustit jako první, jsou PDFiD (k dispozici další u Didierových ostatních PDF Tools ) a Pyew .

Zde je článek o tom, jak spustit pdfid.py a zobrazit očekávané výsledky; Tady je další pro pyew .

Nakonec po identifikaci možných JS, Javascript, AA, OpenAction a AcroForms - budete chtít tyto objekty vypsat, filtrovat Javascript a produkovat prvotní výstup. To je možné pomocí pdf-parser.py .

Navíc Brandon Dixon udržuje několik extrémně elitních blogových příspěvků na svém výzkumu s PDF malware, včetně příspěvku o hodnocení PDF na základě škodlivých filtrů přesně jak popisuješ.

Já osobně spustím všechny tyto nástroje!

40
atdre

Právě přišel tento velmi nedávný blogový příspěvek od Lenny Zeltsera, který je do značné míry na penězích

6 bezplatných nástrojů pro analýzu škodlivého obsahu PDF soubory

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Nástroje, které zmiňuje, jsou:

Na blogu jsou podrobnosti o každém z nich a odkazy na další dokumenty analýzy PDF.

10
john

V posledních několika měsících jsem prováděla výzkum PDF analýza a jak by se dalo lépe vylepšit). Během výzkumu jsem zjistila, že jsem psala nástroje a skripty, aby mi pomohla dokončit práci a rozhodla se bylo na čase dát něco užitečnějšího dohromady. PDF X-RAY je statický analytický nástroj, který vám umožní analyzovat PDF soubory prostřednictvím webového rozhraní nebo API) . Tento nástroj používá několik nástrojů s otevřeným zdrojovým kódem a vlastního kódu, aby převzal a PDF a změnil jej na formát, který lze sdílet). Cílem tohoto nástroje je centralizovat PDF analyzovat a začít sdílet komentáře k zobrazeným souborům.

PDF X-RAY se liší od všech ostatních nástrojů, protože se nezaměřuje na jediný soubor. Místo toho porovnává nahraný soubor s tisíci škodlivými soubory PDF v našem úložišti. Tyto kontroly hledají podobné datové struktury v rámci PDF, které nahráváte) a těch, které byly přezkoumány analytiky. Pomocí této funkce můžeme začít vidět sdílené kódované vzorky mezi škodlivými soubory nebo trendy v důsledku škodlivých autorských stylů kódování. Nástroj je stále v beta verzi, ale chtěl jsem ho zveřejnit, aby viděl, co si uživatelé mysleli Podle mého názoru je API nejužitečnější, protože můžete začít integrovat bohatou PDF analýzu) do jiných nástrojů a služeb s malými nebo žádnými náklady.

Aktuální vlastnosti zahrnují:

  • Souhrnná zpráva
  • Interaktivní přehled (obsahuje všechny informace, které mám)
  • Související prostřednictvím charakteristik
  • Přístup k účtu a funkce
  • Plné API (odeslat, nahlásit, celý objekt atd.)
  • Vyhledávání (ne všechny implementované, ale všechny aspekty hashování fungují)
  • Výpis kódu JS do karantény
  • Označování streamů (škodlivých nebo škodlivých) pro přihlášené uživatele (anonymní uživatelé mohou vidět, kolik lidí označilo něco jako škodlivé)
  • Zprávy (posledních 50 běhlo mimo jiné (některé zatím nebyly vydány))
  • Háčky na sociální síti (způsobují určitou pomalost, takže ji mohu nahradit)
  • Základní dokumentace nápovědy
  • Generování náhledu obrázku

kázková zpráva z webu PDFXRAY.com

6
Brandon Dixon

Jsem ve skutečnosti v procesu přesunu svého nástroje (viz Bodování PDF na základě škodlivého filtru - 9b + ) do hostovaného prostředí, kde můžete nahrávat vzorky prostřednictvím rozhraní API nebo webového portálu. Ve svém aktuálním stavu prohledá PDF, načte co nejvíce dat a porovná je se stovkami dalších škodlivých souborů. Zašlete mi prosím e-mail a já vás určitě upozorníme, až bude k dispozici pro použití.

Mezitím můžete použít filtr, který jsem vytvořil a který nyní detekuje o něco více než 50% malwaru. Je třeba to trochu vylepšit, ale byl bych ochoten se na vaše vzorky osobně podívat a dát vám nejlepší odhad. Jak jsem řekl, pošlete mi e-mail a my si můžeme vyměňovat informace.

3
user2009

Vyzkoušeli jste právě využití VirusTotal jako indikátoru potenciálního škodlivého obsahu? Vím, že toto je moje první zastávka pro většinu ověřování souborů. Dalo by se skriptovat požadavek na zvlnění do jejich vyhledávače MD5?

2
xntrik