it-swarm-id.com

Bagaimana cara memindai PDF untuk malware?

Adakah yang bisa menyarankan alat otomatis untuk memindai file PDF untuk menentukan apakah mungkin mengandung malware atau "hal-hal buruk" lainnya? Atau, sebagai alternatif, memberikan tingkat risiko ke PDF?

Saya lebih suka alat gratis. Itu harus sesuai untuk penggunaan terprogram, mis., Dari baris perintah Unix, sehingga dimungkinkan untuk memindai PDF secara otomatis dan mengambil tindakan berdasarkan itu. Solusi berbasis web mungkin juga OK jika dapat skrip.

39
D.W.

Sangat mudah.

Didier Stevens telah menyediakan dua skrip open-source open-source untuk melakukan analisis malware PDF. Ada beberapa yang lain yang juga akan saya soroti.

Yang utama yang ingin Anda jalankan pertama adalah PDFiD (tersedia lainnya dengan Didier yang lain Alat PDF ) dan Pyew .

Berikut ini adalah artikel tentang cara menjalankan pdfid.py dan lihat hasil yang diharapkan; Ini satu lagi untuk pyew .

Akhirnya, setelah mengidentifikasi kemungkinan JS, Javascript, AA, OpenAction, dan AcroForms - Anda akan ingin membuang objek-objek itu, memfilter Javascript, dan menghasilkan output mentah. Ini dimungkinkan dengan pdf-parser.py .

Selain itu, Brandon Dixon memelihara beberapa posting blog yang sangat Elite dalam penelitiannya dengan PDF malware, termasuk posting tentang mencetak PDF berdasarkan filter berbahaya seperti yang Anda gambarkan.

Saya, secara pribadi, menjalankan semua alat ini!

40
atdre

Baru saja datang oleh posting blog baru-baru ini oleh Lenny Zeltser yang cukup banyak uang

6 Alat Gratis untuk menganalisis Malicious PDF File

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Alat yang disebutnya adalah:

Ada rincian tentang masing-masing dan tautan ke dokumen analisis pdf lain di posting blog.

10
john

Selama beberapa bulan terakhir saya telah melakukan penelitian pada analisis PDF dan bagaimana hal itu dapat ditingkatkan dengan lebih baik. Saat melakukan penelitian saya menemukan diri saya menulis alat dan skrip untuk membantu saya menyelesaikan pekerjaan dan memutuskan sudah waktunya untuk menyatukan sesuatu yang lebih berguna. PDF X-RAY adalah alat analisis statis yang memungkinkan Anda untuk menganalisis file PDF melalui antarmuka web atau API Alat ini menggunakan beberapa alat sumber terbuka dan kode khusus untuk mengambil PDF dan mengubahnya menjadi format yang dapat dibagi. Tujuan dengan alat ini adalah untuk memusatkan PDF analisis dan mulailah membagikan komentar pada file yang terlihat.

PDF X-RAY berbeda dari semua alat lain karena tidak fokus pada satu file. Alih-alih itu membandingkan file yang Anda unggah dengan ribuan file jahat PDF dalam repositori kami. Pemeriksaan ini mencari struktur data yang serupa dalam PDF yang Anda unggah dan file yang Anda unggah) telah ditinjau oleh analis. Menggunakan fitur ini kita dapat mulai melihat sampel kode bersama di antara file berbahaya atau tren karena gaya pengkodean penulis jahat. Alat ini masih dalam versi beta, tapi saya ingin merilisnya ke publik untuk melihat apa yang dipikirkan pengguna Menurut pendapat saya API adalah yang paling berguna karena Anda dapat mulai mengintegrasikan rich PDF analisis ke dalam alat dan layanan lain dengan sedikit atau tanpa biaya.

Fitur saat ini termasuk:

  • Rangkuman laporan
  • Laporan interaktif (termasuk semua informasi yang saya miliki)
  • Terkait melalui karakteristik
  • Akses dan fitur akun
  • API lengkap (kirim, laporkan, objek lengkap, dll.)
  • Pencarian (tidak semua diterapkan, tetapi semua aspek hashing berfungsi)
  • Tempat sampah dari kode JS
  • Menandai aliran (berbahaya atau tidak berbahaya) untuk pengguna yang masuk (pengguna anonim dapat melihat berapa banyak orang yang menandai sesuatu sebagai berbahaya)
  • Laporan (50 berjalan terakhir antara lain (beberapa belum dirilis))
  • Kait jaringan sosial (menyebabkan beberapa kelambatan, jadi saya dapat mengganti ini)
  • Dokumentasi bantuan dasar
  • Pembuatan pratinjau gambar

Contoh Laporan dari PDFXRAY.com

6
Brandon Dixon

Saya sebenarnya sedang dalam proses memindahkan alat saya (lihat Mencetak PDF Berdasarkan Malicious Filter - 9b + ) ke lingkungan yang dihosting di mana Anda dapat mengunggah sampel melalui API atau portal web. Dalam keadaan saat ini akan memindai PDF, menarik data sebanyak mungkin dan membandingkannya dengan ratusan file berbahaya lainnya. Silakan kirim saya email dan saya pasti akan memberi tahu Anda secara pribadi kapan tersedia untuk digunakan.

Sementara itu, Anda dapat menggunakan filter yang saya buat yang mendeteksi sedikit lebih dari 50% malware saya sekarang. Perlu sedikit penyesuaian, tapi saya akan bersedia untuk melihat sampel Anda secara pribadi dan memberikan Anda tebakan terbaik saya. Seperti yang saya katakan, email saya dan kami dapat bertukar informasi.

3
user2009

Sudahkah Anda mencoba memanfaatkan VirusTotal sebagai indikator potensi konten berbahaya? Saya tahu ini adalah perhentian pertama saya untuk sebagian besar verifikasi file. Anda mungkin dapat skrip permintaan ikal ke mesin pencari MD5 mereka mungkin?

2
xntrik