it-swarm-eu.dev

Come scansionare a PDF per malware?

Qualcuno può suggerire uno strumento automatizzato per scansionare un PDF per determinare se potrebbe contenere malware o altre "cose ​​cattive"? O, in alternativa, assegna un livello di rischio al PDF?

Preferirei uno strumento gratuito. Deve essere adatto all'uso programmatico, ad es. Dalla riga di comando Unix, in modo che sia possibile scansionare automaticamente i PDF e agire in base a ciò. Una soluzione basata sul Web potrebbe anche essere OK se è utilizzabile tramite script.

39
D.W.

Molto facile.

Didier Stevens ha fornito due script open source basati su Python per eseguire PDF analisi del malware. Ce ne sono alcuni altri che metterò in evidenza.

I principali che si desidera eseguire per primi sono PDFiD (disponibile un altro con l'altro Didier Strumenti PDF ) e Pyew .

Ecco un articolo su come eseguire pdfid.py e vedere i risultati previsti; Eccone un altro per pyew .

Infine, dopo aver identificato possibili JS, Javascript, AA, OpenAction e AcroForms, vorrai scaricare tali oggetti, filtrare Javascript e produrre un output non elaborato. Questo è possibile con pdf-parser.py .

Inoltre, Brandon Dixon mantiene alcuni post di blog estremamente Elite nelle sue ricerche con PDF malware, incluso un post su punteggio PDF basato su filtri dannosi proprio come descrivi.

Personalmente, eseguo tutti questi strumenti!

40
atdre

Sono appena arrivato da questo recente post sul blog di Lenny Zeltser che è praticamente perfetto

6 strumenti gratuiti per l'analisi di malware PDF file

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Gli strumenti che menziona sono:

Ci sono dettagli su ciascuno e collegamenti ad altri documenti di analisi pdf nel post del blog.

10
john

Negli ultimi mesi ho svolto ricerche sull'analisi PDF e su come migliorarla meglio. Durante la ricerca mi sono trovato a scrivere strumenti e script per aiutarmi a fare il lavoro e ho deciso che era tempo di mettere insieme qualcosa di più utile. PDF X-RAY è uno strumento di analisi statica che ti consente di analizzare PDF file tramite un'interfaccia web o API. Lo strumento utilizza più strumenti open source e codice personalizzato per prendere un PDF e trasformarlo in un formato condivisibile. L'obiettivo di questo strumento è centralizzare l'analisi PDF e iniziare a condividere i commenti sui file visualizzati.

PDF X-RAY differisce da tutti gli altri strumenti perché non si concentra sul singolo file. Invece confronta il file che carichi con migliaia di file dannosi PDF nel nostro repository. Questi controlli cercano strutture di dati simili all'interno del PDF che carichi e quelle che sono state riviste dagli analisti. Usando questa funzione possiamo iniziare a vedere esempi codificati condivisi tra file dannosi o tendenze a causa di stili di codifica di autori maliziosi. Lo strumento è ancora in versione beta, ma volevo rilasciarlo al pubblico per vedere cosa pensavano gli utenti. A mio avviso l'API è la più utile in quanto puoi iniziare a integrare la ricca analisi PDF in altri strumenti e servizi con costi minimi o nulli.

Le caratteristiche attuali includono:

  • Relazione di sintesi
  • Rapporto interattivo (include tutte le informazioni che ho)
  • Correlato attraverso le caratteristiche
  • Accesso all'account e funzionalità
  • API completa (invio, report, oggetto completo, ecc.)
  • Ricerca (non tutti implementati, ma tutti gli aspetti di hashing funzionano)
  • Dump sandbox del codice JS
  • Segnalazione di flussi (dannosi o non dannosi) per gli utenti che hanno effettuato l'accesso (gli utenti anonimi possono vedere quante persone hanno contrassegnato qualcosa come dannoso)
  • Rapporti (gli ultimi 50 hanno funzionato tra gli altri (alcuni non ancora rilasciati))
  • Ganci dei social network (causa un po 'di lentezza, quindi posso sostituirlo)
  • Documentazione di aiuto di base
  • Generazione dell'anteprima dell'immagine

Rapporto di esempio da PDFXRAY.com

6
Brandon Dixon

Sono attualmente in procinto di spostare il mio strumento (vedere Punteggio dei PDF basati su filtro dannoso - 9b + ) in un ambiente ospitato in cui è possibile caricare campioni tramite un'API o un portale Web. Nel suo stato attuale scansionerà il PDF, estrarrà quanti più dati possibili e lo confronterà con centinaia di altri file dannosi. Vi prego di inviarmi una e-mail e sarò sicuro di farvi sapere personalmente quando sarà disponibile per l'uso.

Nel frattempo, puoi utilizzare il filtro che ho creato che rileva poco più del 50% del mio malware ora. Deve essere modificato un po ', ma sarei disposto a dare un'occhiata personale ai tuoi campioni e darti la mia ipotesi migliore. Come ho detto, inviami un'e-mail e possiamo scambiare informazioni.

3
user2009

Hai provato a utilizzare VirusTotal come indicatore di potenziali contenuti dannosi? So che questa è la mia prima fermata per la maggior parte delle verifiche dei file. Potresti scrivere una richiesta di arricciatura al loro motore di ricerca MD5 forse?

2
xntrik