it-swarm-korea.com

맬웨어를 PDF) 검사하는 방법?

누구든지 PDF 파일을 스캔하여 맬웨어 또는 다른 "나쁜 것들"이 포함되어 있는지 여부를 확인하거나 PDF에 위험 수준을 지정하는 자동화 된 도구를 제안 할 수 있습니까?

무료 도구를 선호합니다. PDF를 자동으로 스캔하고이를 기반으로 조치를 취할 수 있도록 유닉스 명령 줄 등에서 프로그래밍 방식으로 사용하기에 적합해야합니다. 스크립트 가능한 웹 기반 솔루션도 정상일 수 있습니다.

39
D.W.

아주 쉽게.

Didier Stevens는 PDF 악성 코드 분석을 수행하기위한 2 개의 오픈 소스, Python 기반 스크립트를 제공했습니다. 또한 강조 할 다른 것들도 몇 가지 있습니다.

가장 먼저 실행하려는 주요 항목은 PDFiD (디 디어의 다른 도구 PDF 도구 ) 및 Pyew 입니다.

다음은 pdfid.py 실행 방법과 예상 결과를 확인하는 방법에 대한 기사입니다. pyew 에 대한 또 다른 내용이 있습니다.

마지막으로 가능한 JS, Javascript, AA, OpenAction 및 AcroForms를 식별 한 후 해당 객체를 덤프하고 Javascript를 필터링하며 원시 출력을 생성하려고합니다. pdf-parser.py 로 가능합니다.

또한, Brandon Dixon 자신의 연구에서 PDF 악성 코드에 대한 게시물을 포함하여 악성 필터를 기반으로 한 PDF 스코어링에 대한 게시물 포함 당신이 묘사 한대로.

나는 개인적으로 이러한 모든 도구를 실행합니다!

40
atdre

Lenny Zeltser의 최근 블로그 게시물에서 돈을 얻었습니다.

6 악성 분석을위한 무료 도구 PDF 파일

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

그가 언급 한 도구는 다음과 같습니다.

블로그 게시물에는 각각에 대한 자세한 내용과 다른 PDF 분석 문서에 대한 링크가 있습니다.

10
john

지난 몇 개월 동안 저는 PDF 분석 및 개선 방법에 대한 연구를 해왔습니다. 연구를 수행하면서 작업과 결정을 내리는 데 도움이되는 도구와 스크립트를 작성하는 것을 알게되었습니다. PDF X-RAY는 웹 인터페이스 또는 API를 통해 PDF 파일을 분석 할 수있는 정적 분석 도구입니다.) 이 도구는 여러 개의 오픈 소스 도구와 사용자 지정 코드를 사용하여 PDF를 가져 와서 공유 가능한 형식으로 변환합니다.이 도구의 목표는 PDF 분석 된 파일을보고 의견을 공유하십시오.

PDF X-RAY는 단일 파일에 초점을 두지 않기 때문에 다른 모든 도구와 다릅니다. 대신 업로드 한 파일을 리포지토리에있는 수천 개의 악성 PDF 파일과 비교합니다.이 검사는 PDF 업로드 한 파일과 유사한 파일 구조를 찾습니다) 이 기능을 사용하면 악의적 인 제작자 코딩 스타일로 인해 악의적 인 파일 또는 트렌드간에 공유 코드 샘플을 볼 수 있습니다.이 도구는 아직 베타 버전이지만 공개적으로 발표하여 사용자의 생각을 보았습니다. 내 의견으로는 API가 비용이 거의 또는 전혀없는 다른 도구 및 서비스에 풍부한 PDF 분석을 통합 할 수 있기 때문에 가장 유용합니다.

현재 기능은 다음과 같습니다.

  • 요약 보고서
  • 대화 형 보고서 (내가 가진 모든 정보 포함)
  • 특성을 통한 관련
  • 계정 액세스 및 기능
  • 전체 API (제출, 보고서, 전체 객체 등)
  • 검색 (모두 구현 된 것은 아니지만 모든 해싱 측면이 작동 함)
  • JS 코드의 샌드 박스 덤프
  • 로그인 한 사용자에 대한 스트림 플래그 (악의적이거나 악성이 아닌) (익명 사용자는 얼마나 많은 사람들이 악성으로 표시했는지 볼 수 있음)
  • 보고서 (마지막 50은 다른 것들 사이에서 실행되었습니다 (일부는 아직 공개되지 않았습니다))
  • 소셜 네트워크 연결 고리 (느려짐으로 인해 교체 할 수 있음)
  • 기본 도움말 문서
  • 이미지 미리보기 생성

PDFXRAY.com의 샘플 보고서

6
Brandon Dixon

실제로 도구를 API 또는 웹 포털을 통해 샘플을 업로드 할 수있는 호스팅 된 환경으로 옮기는 중입니다 ( 악의적 인 필터 기반 PDF 점수-9b + 참조). 현재 상태에서는 PDF를 스캔하고 가능한 한 많은 데이터를 가져와 수백 개의 다른 악성 파일과 비교합니다. 저에게 이메일을 보내 주시면 사용 가능할 때 개인적으로 알려 드리겠습니다.

그 동안 내 악성 코드의 50 % 이상을 탐지하는 내가 만든 필터를 사용할 수 있습니다. 약간의 조정이 필요하지만 샘플을 개인적으로 살펴보고 최선의 추측을하겠습니다. 내가 말했듯이, 저에게 이메일을 보내면 정보를 교환 할 수 있습니다.

3
user2009

잠재적 인 악성 콘텐츠를 나타내는 지표로 VirusTotal을 사용해 보셨습니까? 이것이 대부분의 파일 확인을위한 첫 번째 방법이라는 것을 알고 있습니다. 컬 요청을 MD5 검색 엔진에 스크립팅 할 수 있습니까?

2
xntrik