it-swarm-eu.dev

Wie scanne ich ein PDF nach Malware)?

Kann jemand ein automatisiertes Tool vorschlagen, um eine PDF - Datei zu scannen, um festzustellen, ob sie Malware oder andere "schlechte Dinge" enthält, oder der PDF-Datei alternativ eine Risikostufe zuweisen?

Ich würde ein kostenloses Tool bevorzugen. Es muss für die programmatische Verwendung geeignet sein, z. B. über die Unix-Befehlszeile, damit PDF-Dateien automatisch gescannt und darauf basierend Maßnahmen ergriffen werden können. Eine webbasierte Lösung ist möglicherweise auch in Ordnung, wenn sie skriptfähig ist.

39
D.W.

Sehr leicht.

Didier Stevens hat zwei Open-Source-Skripte auf Python-Basis bereitgestellt, um PDF Malware-Analyse durchzuführen. Es gibt einige andere, die ich ebenfalls hervorheben werde.

Die primären, die Sie zuerst ausführen möchten, sind PDFiD (verfügbar mit Didiers anderen PDF Tools ) und Pyew .

Hier ist ein Artikel darüber, wie man pdfid.py ausführt und die erwarteten Ergebnisse sieht. Hier ist eine andere für pyew .

Nachdem Sie mögliche JS-, Javascript-, AA-, OpenAction- und AcroForms identifiziert haben, möchten Sie diese Objekte sichern, das Javascript filtern und eine Rohausgabe erstellen. Dies ist möglich mit pdf-parser.py .

Darüber hinaus unterhält Brandon Dixon einige äußerst Elite-Blog-Posts zu seiner Forschung mit PDF Malware, einschließlich eines Posts über Bewertung von PDFs basierend auf böswilligen Filtern so wie du es beschreibst.

Ich persönlich führe alle diese Tools aus!

40
atdre

Ich bin gerade von diesem kürzlich erschienenen Blog-Beitrag von Lenny Zeltser gekommen, der ziemlich genau auf dem Geld liegt

6 kostenlose Tools zum Analysieren bösartiger Dateien PDF Dateien

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Die Werkzeuge, die er erwähnt, sind:

Es gibt Details zu jedem und Links zu anderen PDF-Analysedokumenten im Blog-Beitrag.

10
john

In den letzten Monaten habe ich über PDF Analysen geforscht und darüber, wie sie besser verbessert werden könnten. Während der Recherche schrieb ich Werkzeuge und Skripte, um meine Arbeit zu erledigen, und entschied, dass es Zeit war, etwas Nützlicheres zusammenzustellen. PDF X-RAY ist ein statisches Analysetool, mit dem Sie PDF Dateien über eine Webschnittstelle oder API analysieren können. Das Tool verwendet mehrere Open Source-Tools und benutzerdefinierten Code, um ein PDF in ein gemeinsam nutzbares Format umzuwandeln. Das Ziel dieses Tools ist es, die Analyse von [PDF zu zentralisieren und Kommentare zu angezeigten Dateien auszutauschen.

PDF X-RAY unterscheidet sich von allen anderen Tools, da es sich nicht auf die einzelne Datei konzentriert. Stattdessen wird die von Ihnen hochgeladene Datei mit Tausenden von schädlichen PDF Dateien in unserem Repository verglichen. Diese Überprüfungen suchen nach ähnlichen Datenstrukturen innerhalb des von Ihnen hochgeladenen PDF und nach solchen, die von Analysten überprüft wurden. Mit dieser Funktion können wir beginnen, gemeinsam genutzte codierte Beispiele unter schädlichen Dateien oder Trends aufgrund von Codierungsstilen für böswillige Autoren zu sehen. Das Tool befindet sich noch in der Beta-Phase, aber ich wollte es der Öffentlichkeit zugänglich machen, um zu sehen, was die Benutzer dachten. Meiner Meinung nach ist die API am nützlichsten, da Sie beginnen können, umfangreiche PDF -Analysen mit geringen oder keinen Kosten in andere Tools und Dienste zu integrieren.

Aktuelle Funktionen umfassen:

  • Kurzbericht
  • Interaktiver Bericht (enthält alle Informationen, die ich habe)
  • Verwandt durch Eigenschaften
  • Kontozugriff und Funktionen
  • Vollständige API (Senden, Berichten, vollständiges Objekt usw.)
  • Suchen (nicht alle implementiert, aber alle Hashing-Aspekte funktionieren)
  • Sandbox-Dump von JS-Code
  • Markieren von Streams (böswillig oder nicht böswillig) für angemeldete Benutzer (anonyme Benutzer können sehen, wie viele Personen etwas als bösartig markiert haben)
  • Berichte (die letzten 50 liefen unter anderem (einige noch nicht veröffentlicht))
  • Social Network Hooks (verursacht etwas Langsamkeit, daher kann ich dies ersetzen)
  • Grundlegende Hilfedokumentation
  • Generierung der Bildvorschau

Beispielbericht von PDFXRAY.com

6
Brandon Dixon

Ich bin gerade dabei, mein Tool (siehe Scoring von PDFs basierend auf bösartigem Filter - 9b + ) in eine gehostete Umgebung zu verschieben, in der Sie Beispiele über eine API oder ein Webportal hochladen können. Im aktuellen Zustand wird das PDF gescannt, so viele Daten wie möglich abgerufen und mit Hunderten anderer schädlicher Dateien verglichen. Bitte senden Sie mir eine E-Mail und ich werde Sie sicher persönlich informieren, wenn es zur Verfügung steht.

In der Zwischenzeit können Sie den von mir erstellten Filter verwenden, der jetzt etwas mehr als 50% meiner Malware erkennt. Es muss ein wenig optimiert werden, aber ich würde gerne Ihre Proben persönlich betrachten und Ihnen meine besten Vermutungen geben. Wie gesagt, mailen Sie mir und wir können Informationen austauschen.

3
user2009

Haben Sie versucht, VirusTotal nur als Indikator für potenzielle schädliche Inhalte zu verwenden? Ich weiß, dass dies meine erste Station für die meisten Dateiverifizierungen ist. Sie könnten vielleicht eine Curl-Anfrage an ihre MD5-Suchmaschine senden?

2
xntrik