Привет, друг! В этой небольшой шпаргалке хочу описать способ ручной проверки документов на наличие вредоносов. Чаще всего оружием тёмной стороны становятся документы MS Office ( doc, rtf, xls, ppt, pptx, etc. ) и PDF
Общий подход к анализу документов
- многофункциональный набор инструментов на Python для анализа файлов, таких как документы Microsoft Office (MS Word, Excel, Powerpoint, etc.)
Установка на Linux:
Установка на Windows:
инструменты в пакете:
Спойлер: tools
У oletools есть свой довольно неплохой , так что разобраться не составит труда.
pcodedmp - дизассемблер (по сути шелл кода) из документов. Для запуска требуется oletools.
Инструменты для анализа PDF файлов:
PDF Stream Dumper - утилита с графическим интерфейсом под Windows для анализа PDF.
pdf-parser - позволяет извлекать отдельные элементы PDF-файла, такие как заголовки, ссылки и прочее.
pdfid - перечисляет все объекты PDF-файла.
peepdf - довольно мощный инструмент для анализа. Включает в себя поиск shellcode, Javascript и много чего ещё. Включён по умолчанию в .
pdfxray - имеет большую часть нужных утилит в виде отдельных python скриптов, но требует много зависимостей.
На что стоит обратить внимание при анализе PDF
В первую очередь на названия объектов, присутствующих в PDF:
В вредоносных PDF редко можно встретить чистый необфуцированный код. Самый простые виды обфускации - HEX-кодирование, такое как /J#61vaScript вместо /Javascript и перенос строк:
Тестируем
Под микроскопом у меня документ с сюрпризом в виде
Проверим на VBA скрипты:
Нам сразу выкидавыет тонны строк VBA скрипта, а в конце ещё и показывают, что он делает.
Следующим подопытным выступает PDF файл.
Используем pdfid для просмотра всех объектов в файле
Общий подход к анализу документов
- Проверить документ на опасные теги и скрипты
- Найти встроенный код, такой как shellcode, VBA-макрос, Javascript, Powershell и другие
- Извлечь подозрительный код или объект из файла
- Если возможно, деобфуцировать извлечённый код (хотя с очень большой долей вероятности обфуцированный код является вредоносным)
- многофункциональный набор инструментов на Python для анализа файлов, таких как документы Microsoft Office (MS Word, Excel, Powerpoint, etc.)
Установка на Linux:
Код:
sudo -H pip install -U oletoolsУстановка на Windows:
Код:
pip install -U oletoolsинструменты в пакете:
Спойлер: tools
У oletools есть свой довольно неплохой , так что разобраться не составит труда.
pcodedmp - дизассемблер (по сути шелл кода) из документов. Для запуска требуется oletools.
Инструменты для анализа PDF файлов:
PDF Stream Dumper - утилита с графическим интерфейсом под Windows для анализа PDF.
pdf-parser - позволяет извлекать отдельные элементы PDF-файла, такие как заголовки, ссылки и прочее.
pdfid - перечисляет все объекты PDF-файла.
peepdf - довольно мощный инструмент для анализа. Включает в себя поиск shellcode, Javascript и много чего ещё. Включён по умолчанию в .
pdfxray - имеет большую часть нужных утилит в виде отдельных python скриптов, но требует много зависимостей.
На что стоит обратить внимание при анализе PDF
В первую очередь на названия объектов, присутствующих в PDF:
- /OpenAction и /AA могут автоматически выполнять скрипты
- /JavaScript
- /GoTo изменяет видимую страницу файла, может автоматически открывать перебрасывать на другие PDF файлы
- /Launch запускает программу или открывает документ
- /SubmitForm и /GoToR может отправлять данные по URL
- /RichMedia может использоваться для встраивания flash
- /ObjStm может скрывать объекты
В вредоносных PDF редко можно встретить чистый необфуцированный код. Самый простые виды обфускации - HEX-кодирование, такое как /J#61vaScript вместо /Javascript и перенос строк:
Код:
/Ja\[/SIZE][/SIZE][/SIZE][/SIZE]
[SIZE=6][SIZE=4][SIZE=6][SIZE=4] vascr\
iptТестируем
Под микроскопом у меня документ с сюрпризом в виде
Проверим на VBA скрипты:
Код:
olevba exploit.docНам сразу выкидавыет тонны строк VBA скрипта, а в конце ещё и показывают, что он делает.
Следующим подопытным выступает PDF файл.
Используем pdfid для просмотра всех объектов в файле
Как видим, здесь есть /ObjStm объекты. Что бы убедиться, что они не делают ничего вредоносного, извлечём их из файла и рассмотрим отдельно с помощью утилиты pdf-parser.
В моём случае нет ничего страшного.
Всем спасибо за внимание!
