web-dev-qa-db-fra.com

Comment scanner un PDF pour les logiciels malveillants?

Quelqu'un peut-il suggérer un outil automatisé pour analyser un fichier PDF pour déterminer s'il peut contenir des logiciels malveillants ou d'autres "mauvaises choses"? Ou, alternativement, attribuer un niveau de risque au PDF?

Je préférerais un outil gratuit. Il doit être adapté à une utilisation programmatique, par exemple à partir de la ligne de commande Unix, afin qu'il soit possible de numériser automatiquement des PDF et de prendre des mesures en fonction de cela. Une solution Web peut également convenir si elle est scriptable.

39
D.W.

Très facile.

Didier Stevens a fourni deux scripts open-source basés sur Python pour effectuer une analyse de malware PDF. Il y en a quelques autres que je soulignerai également.

Les principaux que vous souhaitez exécuter en premier sont PDFiD (disponible un autre avec l'autre de Didier PDF Tools ) et Pyew .

Voici un article sur la façon d'exécuter pdfid.py et voir les résultats attendus; En voici un autre pour pyew .

Enfin, après avoir identifié les JS, Javascript, AA, OpenAction et AcroForms possibles - vous souhaiterez vider ces objets, filtrer le Javascript et produire une sortie brute. C'est possible avec pdf-parser.py .

De plus, Brandon Dixon maintient des articles de blog extrêmement Elite sur ses recherches avec PDF malware, y compris un article sur notation des PDF basés sur des filtres malveillants comme vous le décrivez.

Personnellement, je gère tous ces outils!

40
atdre

Je viens de découvrir ce blog très récent de Lenny Zeltser, qui a à peu près raison

6 Outils gratuits pour analyser les fichiers malveillants PDF

http://blog.zeltser.com/post/5360563894/tools-for-malicious-pdf-analysis

Les outils qu'il mentionne sont:

Il y a des détails sur chacun et des liens vers d'autres documents d'analyse pdf sur le blog.

10
john

Au cours des derniers mois, j'ai fait des recherches sur PDF analyse et comment il pourrait être mieux amélioré. En faisant la recherche, je me suis retrouvé à écrire des outils et des scripts pour m'aider à faire le travail et à décider il était temps de rassembler quelque chose de plus utile. PDF X-RAY est un outil d'analyse statique qui vous permet d'analyser les fichiers PDF via une interface Web ou une API) . L'outil utilise plusieurs outils open source et du code personnalisé pour prendre un PDF et le transformer en un format partageable. Le but de cet outil est de centraliser PDF analyse et commencer à partager des commentaires sur les fichiers qui sont vus.

PDF X-RAY diffère de tous les autres outils car il ne se concentre pas sur le fichier unique. Au lieu de cela, il compare le fichier que vous téléchargez à des milliers de fichiers PDF PDF malveillants dans notre référentiel. Ces vérifications recherchent des structures de données similaires dans le PDF que vous téléchargez et celles qui ont été examinés par des analystes. En utilisant cette fonctionnalité, nous pouvons commencer à voir des échantillons codés partagés parmi des fichiers malveillants ou des tendances en raison de styles de codage d'auteur malveillants. L'outil est toujours en version bêta, mais je voulais le rendre public pour voir ce que les utilisateurs pensaient . À mon avis, l'API est la plus utile car vous pouvez commencer à intégrer une analyse riche PDF dans d'autres outils et services à peu ou pas de frais.

Les fonctionnalités actuelles incluent:

  • Rapport sommaire
  • Rapport interactif (comprend toutes les informations dont je dispose)
  • Liés à travers les caractéristiques
  • Accès au compte et fonctionnalités
  • API complète (soumettre, rapporter, objet complet, etc.)
  • Recherche (pas tous implémentés, mais tous les aspects de hachage fonctionnent)
  • Vidage du bac à sable du code JS
  • Marquage de flux (malveillants ou non malveillants) pour les utilisateurs connectés (les utilisateurs anonymes peuvent voir combien de personnes ont marqué quelque chose comme malveillant)
  • Rapports (les 50 derniers ont été publiés entre autres (certains non encore publiés))
  • Crochets de réseaux sociaux (cause une certaine lenteur, donc je peux remplacer cela)
  • Documentation d'aide de base
  • Génération d'aperçu d'image

Exemple de rapport de PDFXRAY.com

6
Brandon Dixon

Je suis en train de déplacer mon outil (voir Scoring PDFs Based on Malicious Filter - 9b + ) vers un environnement hébergé où vous pouvez télécharger des échantillons via une API ou un portail Web. Dans son état actuel, il analysera le PDF, récupérera autant de données que possible et le comparera à des centaines d'autres fichiers malveillants. Veuillez m'envoyer un e-mail et je serai sûr de vous faire savoir personnellement quand il sera disponible.

En attendant, vous pouvez utiliser le filtre que j'ai créé qui détecte un peu plus de 50% de mes logiciels malveillants maintenant. Il doit être légèrement modifié, mais je serais prêt à jeter un œil à vos échantillons personnellement et à vous donner ma meilleure estimation. Comme je l'ai dit, écrivez-moi et nous pourrons échanger des informations.

3
user2009

Avez-vous essayé d'utiliser VirusTotal comme indicateur de contenu malveillant potentiel? Je sais que c'est mon premier arrêt pour la plupart des vérifications de fichiers. Vous pourriez peut-être créer une requête curl vers leur moteur de recherche MD5?

2
xntrik