¿Cómo escanear un PDF en busca de malware?

35

¿Alguien puede sugerir una herramienta automatizada para escanear un archivo PDF para determinar si puede contener malware u otras "cosas malas"? O, alternativamente, asigna un nivel de riesgo al PDF?

Preferiría una herramienta gratuita. Debe ser adecuado para el uso programático, por ejemplo, desde la línea de comandos de Unix, de modo que sea posible escanear archivos PDF automáticamente y tomar medidas en función de eso. Una solución basada en la web también podría estar bien si es programable.

    
pregunta D.W. 05.04.2011 - 08:52
fuente

6 respuestas

10

Siempre puedes subir tu PDF a wepawet :)

enlace

    
respondido por el freddyb 10.04.2011 - 18:25
fuente
34

Muy fácil.

Didier Stevens ha proporcionado dos scripts de código abierto basados en Python para realizar análisis de malware en PDF. Hay algunos otros que también resaltaré.

Los principales que desea ejecutar primero son PDFiD (disponible otro con el otro de Didier PDF Tools ) y Pyew .

Aquí hay un artículo sobre cómo ejecutar pdfid.py y ver los resultados esperados; Aquí hay otro para pyew .

Finalmente, después de identificar posibles JS, Javascript, AA, OpenAction y AcroForms, deseará volcar esos objetos, filtrar el Javascript y producir una salida en bruto. Esto es posible con pdf-parser.py .

Además, Brandon Dixon mantiene algunas publicaciones de blog de élite sobre su investigación con malware en PDF, incluida una publicación sobre puntuación de archivos PDF basados en filtros maliciosos tal como describe.

Yo, personalmente, ejecuto todas estas herramientas!

    
respondido por el atdre 05.04.2011 - 09:12
fuente
10

Acabo de recibir esta reciente publicación en el blog de Lenny Zeltser, que está bastante en lo cierto sobre el dinero

6 herramientas gratuitas para analizar archivos PDF maliciosos

enlace

Las herramientas que menciona son:

Hay detalles sobre cada uno y enlaces a otros documentos de análisis de pdf en la publicación del blog.

    
respondido por el john 14.05.2011 - 02:26
fuente
6

Durante los últimos meses he estado investigando sobre el análisis de PDF y cómo podría mejorarse. Mientras realizaba la investigación, me encontré escribiendo herramientas y guiones para ayudarme a hacer el trabajo y decidí que era hora de poner algo más útil juntos. PDF X-RAY es una herramienta de análisis estático que le permite analizar archivos PDF a través de una interfaz web o API. La herramienta utiliza múltiples herramientas de código abierto y código personalizado para tomar un PDF y convertirlo en un formato para compartir. El objetivo de esta herramienta es centralizar el análisis de PDF y comenzar a compartir comentarios sobre los archivos que se ven.

PDF X-RAY se diferencia de todas las demás herramientas porque no se enfoca en un solo archivo. En su lugar, compara el archivo que carga contra miles de archivos PDF maliciosos en nuestro repositorio. Estas verificaciones buscan estructuras de datos similares dentro del PDF que carga y las que han sido revisadas por analistas. Con esta función podemos comenzar a ver muestras codificadas compartidas entre archivos maliciosos o tendencias debido a los estilos de codificación de autores maliciosos. La herramienta todavía está en versión beta, pero quería lanzarla al público para ver qué pensaban los usuarios. En mi opinión, la API es la más útil, ya que puede comenzar a integrar el análisis enriquecido de PDF en otras herramientas y servicios con poco o ningún costo.

Las características actuales incluyen:

  • informe resumido
  • Informe interactivo (incluye toda la información que tengo)
  • Relacionado a través de características
  • Acceso a la cuenta y características
  • API completa (enviar, informar, objeto completo, etc.)
  • La búsqueda (no todas implementadas, pero todos los aspectos de hashing funcionan)
  • Volcado de sandbox del código JS
  • Marcado de secuencias (malintencionadas o no malintencionadas) para los usuarios registrados (los usuarios anónimos pueden ver cuántas personas marcaron algo como malicioso)
  • Informes (los últimos 50 se publicaron entre otros (algunos aún no se han publicado))
  • Los enlaces de redes sociales (causan cierta lentitud, por lo que puedo reemplazar esto)
  • documentación de ayuda básica
  • Generación de vista previa de imagen

Informe de ejemplo de PDFXRAY.com

    
respondido por el Brandon Dixon 06.08.2011 - 02:59
fuente
3

En realidad, estoy en el proceso de mover mi herramienta (consulte Calificando archivos PDF según el filtro malicioso - 9b + ) a un entorno alojado donde puede cargar muestras a través de una API o portal web. En su estado actual, escaneará el PDF, extraerá la mayor cantidad de datos posible y lo comparará con cientos de otros archivos maliciosos. Envíeme un correo electrónico y me aseguraré de informarle personalmente cuando esté disponible para su uso.

Mientras tanto, puedes usar el filtro que he creado, que ahora detecta un poco más del 50% de mi malware. Necesita ser ajustado un poco, pero estaría dispuesto a echar un vistazo a tus muestras personalmente y darte mi mejor estimación. Como dije, envíeme un correo electrónico y podemos intercambiar información.

    
respondido por el user2009 10.04.2011 - 00:04
fuente
2

¿Ha intentado utilizar VirusTotal solo como un indicador de contenido malicioso potencial? Sé que esta es mi primera parada para la mayoría de las verificaciones de archivos. ¿Podría hacer un script de una solicitud de enrollamiento a su motor de búsqueda MD5 tal vez?

    
respondido por el xntrik 06.04.2011 - 04:10
fuente

Lea otras preguntas en las etiquetas