Qualcuno può suggerire uno strumento automatico per scansionare un file PDF per determinare se potrebbe contenere malware o altre "cose cattive"? Oppure, in alternativa, assegna un livello di rischio al PDF?
Preferirei uno strumento gratuito. Deve essere adatto per l'uso programmatico, ad es. Dalla riga di comando di Unix, in modo che sia possibile scansionare i PDF automaticamente e agire in base a ciò. Una soluzione basata sul Web potrebbe anche essere OK se è scriptable.
Molto facile.
Didier Stevens ha fornito due script open source basati su Python per eseguire analisi del malware PDF. Ce ne sono altri che metterò in evidenza.
I principali che vuoi eseguire per primi sono PDFiD (disponibile un altro con l'altro < href="http://blog.didierstevens.com/programs/pdf-tools/"> Strumenti PDF ) e Pyew .
Ecco un articolo su come eseguire pdfid.py e vedere i risultati attesi; Eccone un altro per pyew .
Infine, dopo aver identificato possibili JS, Javascript, AA, OpenAction e AcroForms - vorrai scaricare quegli oggetti, filtrare il Javascript e produrre un output raw. Questo è possibile con pdf-parser.py .
Inoltre, Brandon Dixon mantiene alcuni post di blog estremamente d'elite sulla sua ricerca con malware PDF, tra cui un post su segnando PDF basati su filtri dannosi proprio come descrivi.
Personalmente, eseguo tutti questi strumenti!
Appena arrivato da questo recentissimo post sul blog di Lenny Zeltser che ha praticamente ragione sui soldi
6 strumenti gratuiti per l'analisi dei file PDF dannosi
Gli strumenti che cita sono:
Ci sono dettagli su ognuno e link ad altri documenti di analisi pdf sul post del blog.
Negli ultimi mesi ho fatto ricerche sull'analisi PDF e su come potrebbe essere migliorato meglio. Mentre facevo la ricerca mi sono trovato a scrivere strumenti e script per aiutarmi a portare a termine il lavoro e ho deciso che era giunto il momento di mettere insieme qualcosa di più utile. PDF X-RAY è uno strumento di analisi statica che consente di analizzare i file PDF tramite un'interfaccia Web o un'API. Lo strumento utilizza più strumenti open source e codice personalizzato per prendere un PDF e trasformarlo in un formato condivisibile. L'obiettivo di questo strumento è di centralizzare l'analisi PDF e iniziare a condividere i commenti sui file che vengono visualizzati.
PDF X-RAY si differenzia da tutti gli altri strumenti perché non si concentra sul singolo file. Invece confronta il file che carichi con migliaia di file PDF dannosi nel nostro repository. Questi controlli cercano strutture di dati simili all'interno del PDF che carichi e quelle che sono state riviste dagli analisti. Usando questa funzione possiamo iniziare a vedere campioni codificati condivisi tra file dannosi o trend dovuti a stili di codifica degli autori malevoli. Lo strumento è ancora in beta, ma volevo rilasciarlo al pubblico per vedere cosa ne pensavano gli utenti. A mio parere, l'API è la più utile in quanto è possibile iniziare a integrare le ricche analisi PDF in altri strumenti e servizi con costi minimi o nulli.
Le funzioni correnti includono:
In realtà sto spostando il mio strumento (vedi Punteggio dei PDF basati sul filtro malevolo - 9b + ) in un ambiente ospitato in cui è possibile caricare campioni tramite un'API o un portale web. Nel suo stato attuale eseguirà la scansione del PDF, raccoglierà il maggior numero possibile di dati e lo confronterà con centinaia di altri file dannosi. Vi prego di inviarmi una e-mail e sarò sicuro di farvi sapere personalmente quando è disponibile per l'uso.
Nel frattempo, puoi utilizzare il filtro che ho creato che rileva poco più del 50% del mio malware ora. Deve essere modificato un po ', ma sarei disposto a dare un'occhiata ai tuoi campioni personalmente e a darti la mia migliore ipotesi. Come ho detto, inviami un'email e possiamo scambiare informazioni.
Hai provato a utilizzare VirusTotal solo come indicatore di potenziali contenuti dannosi? So che questa è la mia prima fermata per la maggior parte delle verifiche dei file. Potresti scrivere una richiesta di arricciatura sul loro motore di ricerca MD5, forse?
Leggi altre domande sui tag antivirus antimalware