Frage:
Wie scanne ich ein PDF auf Malware?
D.W.
2011-04-05 11:52:12 UTC
view on stackexchange narkive permalink

Kann jemand ein automatisiertes Tool zum Scannen einer PDF-Datei vorschlagen, um festzustellen, ob sie möglicherweise Malware oder andere "schlechte Dinge" enthält? Oder weist Sie dem PDF alternativ eine Risikostufe zu?

Ich würde ein kostenloses Tool bevorzugen. Es muss für die programmatische Verwendung geeignet sein, z. B. über die Unix-Befehlszeile, damit PDF-Dateien automatisch gescannt und darauf basierend Maßnahmen ergriffen werden können. Eine webbasierte Lösung ist möglicherweise auch in Ordnung, wenn sie skriptfähig ist.

Fünf antworten:
#1
+44
atdre
2011-04-05 12:12:57 UTC
view on stackexchange narkive permalink

Sehr einfach.

Didier Stevens hat zwei Open-Source-Skripte auf Python-Basis bereitgestellt, um PDF-Malware-Analysen durchzuführen. Es gibt einige andere, die ich ebenfalls hervorheben werde.

Die wichtigsten, die Sie zuerst ausführen möchten, sind PDFiD (verfügbar mit Didiers anderen PDF-Tools ) und Pyew.

Hier ist ein Artikel zum Ausführen von pdfid.py und zum Anzeigen der erwarteten Ergebnisse. Hier ist eine andere für pyew.

Nachdem Sie mögliche JS-, Javascript-, AA-, OpenAction- und AcroForms identifiziert haben, möchten Sie diese Objekte sichern, das Javascript filtern und eine Rohleistung erzeugen. Dies ist mit pdf-parser.py möglich.

Darüber hinaus unterhält Brandon Dixon einige äußerst elitäre Blog-Beiträge zu seiner Forschung mit PDF-Malware, darunter a Post über das Bewerten von PDFs basierend auf böswilligen Filtern genau wie Sie es beschreiben.

Ich persönlich führe alle diese Tools aus!

+1 gute Antwort, Didier Stevens ist das Hauptaugenmerk bei der Betrachtung von PDF-basierter Malware. Er verfügt auch über Tools wie 'make-pdf-javascript.py', mit denen Sie bösartige PDF-Dateien zum Nachweis des Konzepts erstellen können, um deren Struktur besser zu verstehen und zu verstehen, warum sie ein Problem darstellen.
Vielen Dank für alle Ressourcen! Ich will nicht undankbar klingen, aber: um ehrlich zu sein, hoffte ich im Idealfall auf ein einziges Skript, das ich ausführen konnte und das eine binäre Antwort ausgibt ("das sieht aus wie Malware" oder "das sieht sicher aus"). Im Gegensatz dazu scheinen die von Ihnen erwähnten Ressourcen für einen professionellen Analysten gedacht zu sein, der den Inhalt einer PDF-Datei durchsuchen und sich auf der Grundlage seines menschlichen Urteils eine Meinung bilden möchte. Kennen Sie jemanden, der diese in einem einzigen Skript zusammengefasst hat, das eine Ja / Nein-Antwort (oder eine numerische Risikobewertung) liefert?
@ D.W. Ja, diese letzte URL, die ich erwähnt habe, macht das, was Sie wollen, aber es ist zufällig ein Python-Skript. Es ist wirklich einfach, Python zu installieren - lassen Sie sich nicht erschrecken!
Hier ist ein neueres Tool mit neueren Techniken ab Anfang 2016 - http://honeynet.org/node/1304
Aktualisierte Techniken - https://itsjack.cc/blog/2017/08/analysingdetecting-malicious-pdfs-primer/
Weitere Updates - https://securityoversimplicity.wordpress.com/2017/09/28/not-all-she-wrote-part-1-rigged-pdfs/
@atdre Wie kann man mit `pdf-parser.py` herausfinden, ob` ObjStm`s bösartig sind?
Hier gibt es einige Ansatzpunkte: https://zeltser.com/analyzing-malicious-documents/
Kann pdftk verwendet werden, um es zu zerlegen / wieder zusammenzusetzen, wobei alle schlechten eingebetteten Inhalte verworfen werden (mindestens 99%)?
Vielleicht, aber pdftk könnte anfällig sein oder eine verknüpfte Bibliothek oder einen anderen systemweiten Sicherheitsfehler für einen Speicherbeschädigungsangriff, der durch dasselbe eingebettete Material ausgelöst wird.Ein einfaches Beispiel hierfür finden Sie in CVE-2019-7113 über ein speziell gestaltetes PDF.Wenn Sie nicht Ihren eigenen Code zum Laden von PDF-Dateien debuggen und gleichzeitig ein bestimmtes PDF umkehren, wissen Sie möglicherweise nie, welche Ausweichtechniken während und nach der Codeausführung angewendet werden.Einige Dinge könnten diese Aktivität aufgreifen, wie z. B. osquery (oder EDR) Sicherheits- / Incident-Packs / Konfigurationen;andere verteidigen sich beispielsweise gegen GRSecurity.
#2
+10
john
2011-05-14 05:26:22 UTC
view on stackexchange narkive permalink

Ich bin gerade von diesem kürzlich erschienenen Blog-Beitrag von Lenny Zeltser gekommen, der ziemlich genau das Richtige für Sie ist.

6 kostenlose Tools zum Analysieren schädlicher PDF-Dateien

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Die von ihm erwähnten Tools sind:

Es gibt Details zu jedem und Links zu anderen PDF-Analysedokumenten im Blog-Beitrag.

#3
+6
Brandon Dixon
2011-08-06 05:59:02 UTC
view on stackexchange narkive permalink

In den letzten Monaten habe ich mich mit PDF-Analysen befasst und untersucht, wie sie besser verbessert werden können. Während der Recherche schrieb ich Werkzeuge und Skripte, um meine Arbeit zu erledigen, und entschied, dass es Zeit war, etwas Nützlicheres zusammenzustellen. PDF X-RAY ist ein statisches Analysetool, mit dem Sie PDF-Dateien über eine Weboberfläche oder API analysieren können. Das Tool verwendet mehrere Open Source-Tools und benutzerdefinierten Code, um eine PDF-Datei in ein gemeinsam nutzbares Format umzuwandeln. Ziel dieses Tools ist es, die PDF-Analyse zu zentralisieren und Kommentare zu angezeigten Dateien auszutauschen.

PDF X-RAY unterscheidet sich von allen anderen Tools, da es sich nicht auf die einzelne Datei konzentriert. Stattdessen wird die von Ihnen hochgeladene Datei mit Tausenden von schädlichen PDF-Dateien in unserem Repository verglichen. Diese Überprüfungen suchen nach ähnlichen Datenstrukturen in dem von Ihnen hochgeladenen PDF und solchen, die von Analysten überprüft wurden. Mit dieser Funktion können wir beginnen, gemeinsam genutzte codierte Beispiele unter schädlichen Dateien oder Trends aufgrund von Codierungsstilen für böswillige Autoren zu sehen. Das Tool befindet sich noch in der Beta-Phase, aber ich wollte es der Öffentlichkeit zugänglich machen, um zu sehen, was die Benutzer dachten. Meiner Meinung nach ist die API am nützlichsten, da Sie mit geringen oder keinen Kosten beginnen können, umfangreiche PDF-Analysen in andere Tools und Dienste zu integrieren.

Zu den aktuellen Funktionen gehören:

  • Zusammenfassender Bericht
  • Interaktiver Bericht (enthält alle Informationen, die ich habe)
  • Bezogen auf Merkmale
  • Kontozugriff und Funktionen
  • Vollständige API ( Senden, Berichten, vollständiges Objekt usw.)
  • Suchen (nicht alle implementiert, aber alle Hashing-Aspekte funktionieren)
  • Sandbox-Dump von JS-Code
  • Markieren von Streams (böswillig oder nicht böswillig) für angemeldete Benutzer (anonyme Benutzer können sehen, wie viele Personen etwas als bösartig markiert haben)
  • Berichte (die letzten 50 wurden unter anderem ausgeführt (einige noch nicht veröffentlicht))
  • Hooks für soziale Netzwerke (verursacht eine gewisse Langsamkeit, daher kann ich diese ersetzen)
  • Grundlegende Hilfedokumentation
  • Generierung der Bildvorschau

Beispielbericht von PDFXRAY.com

Sieht aus wie diese Domain ist ausgefallen.
#4
+3
user2009
2011-04-10 03:04:24 UTC
view on stackexchange narkive permalink

Ich bin gerade dabei, mein Tool (siehe Scannen von PDFs basierend auf bösartigem Filter - 9b +) in eine gehostete Umgebung zu verschieben, in der Sie Beispiele über eine API oder ein Webportal hochladen können. Im aktuellen Zustand wird das PDF gescannt, so viele Daten wie möglich abgerufen und mit Hunderten anderer schädlicher Dateien verglichen. Bitte senden Sie mir eine E-Mail und ich werde Sie sicher persönlich informieren, wenn es zur Verfügung steht.

In der Zwischenzeit können Sie den von mir erstellten Filter verwenden, der jetzt etwas mehr als 50% meiner Malware erkennt. Es muss ein wenig optimiert werden, aber ich würde gerne Ihre Proben persönlich betrachten und Ihnen meine beste Vermutung geben. Wie gesagt, mailen Sie mir und wir können Informationen austauschen.

Es sollte darauf hingewiesen werden, dass das, wonach Sie fragen, sehr selten ist und ein Problem, das nicht viele Menschen gelöst haben. Das Problem ist angesichts der Flexibilität in der PDF-Spezifikation schwer zu lösen. Die Realität ist, dass es derzeit keinen mir bekannten Scanner gibt, der meinen rekursiv in verschachtelte Objekte eintaucht, in denen schädliche Inhalte leben könnten. Wenn dies gesagt ist, ist es am besten, sich ein wenig darüber zu informieren, wonach in einem PDF gesucht werden soll. Didier hat gute Ressourcen dafür sowie gute Beiträge. Wenn Sie meinen Blog lesen, erhalten Sie eine Vorstellung davon, wie ich dieses Problem angehe.
#5
+2
xntrik
2011-04-06 07:10:56 UTC
view on stackexchange narkive permalink

Haben Sie versucht, VirusTotal nur als Indikator für potenzielle schädliche Inhalte zu verwenden? Ich weiß, dass dies meine erste Station für die meisten Dateiverifizierungen ist. Sie könnten vielleicht eine Curl-Anfrage an ihre MD5-Suchmaschine senden?

Ich dachte, VirtusTotal verwendet SHA256?
Ich glaube, es macht beides? Sie sollten SHA256 wahrscheinlich zur Zukunftssicherung verwenden. Prost Dre!


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...