Способ ручной проверки документов на наличие вредоносов

[HHIDE_DUMP]

Привет, друг! В этой небольшой шпаргалке хочу описать способ ручной проверки документов на наличие вредоносов. Чаще всего оружием тёмной стороны становятся документы MS Office ( doc, rtf, xls, ppt, pptx, etc. ) и PDF

Общий подход к анализу документов

1. Проверить документ на опасные теги и скрипты
2. Найти встроенный код, такой как shellcode, VBA-макрос, Javascript, Powershell и другие
3. Извлечь подозрительный код или объект из файла
4. Если возможно, деобфуцировать извлечённый код (хотя с очень большой долей вероятности обфуцированный код является вредоносным)

Инструменты для анализа MS Office файлов:

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

- многофункциональный набор инструментов на Python для анализа

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

файлов, таких как документы Microsoft Office (MS Word, Excel, Powerpoint, etc.)

Установка на Linux:

sudo -H pip install -U oletools

Установка на Windows:

pip install -U oletools

инструменты в пакете:

Спойлер: tools

У oletools есть свой довольно неплохой

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

, так что разобраться не составит труда.

pcodedmp - дизассемблер

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

(по сути шелл кода) из документов. Для запуска требуется oletools.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Инструменты для анализа PDF файлов:
PDF Stream Dumper - утилита с графическим интерфейсом под Windows для анализа PDF.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

pdf-parser - позволяет извлекать отдельные элементы PDF-файла, такие как заголовки, ссылки и прочее.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

pdfid - перечисляет все объекты PDF-файла.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

peepdf - довольно мощный инструмент для анализа. Включает в себя поиск shellcode, Javascript и много чего ещё. Включён по умолчанию в

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

pdfxray - имеет большую часть нужных утилит в виде отдельных python скриптов, но требует много зависимостей.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

На что стоит обратить внимание при анализе PDF


В первую очередь на названия объектов, присутствующих в PDF:

• /OpenAction и /AA могут автоматически выполнять скрипты
• /JavaScript
• /GoTo изменяет видимую страницу файла, может автоматически открывать перебрасывать на другие PDF файлы
• /Launch запускает программу или открывает документ
• /SubmitForm и /GoToR может отправлять данные по URL
• /RichMedia может использоваться для встраивания flash
• /ObjStm может скрывать объекты

В вредоносных PDF редко можно встретить чистый необфуцированный код. Самый простые виды обфускации - HEX-кодирование, такое как /J#61vaScript вместо /Javascript и перенос строк:

/Ja\[/SIZE][/SIZE][/SIZE][/SIZE]
[SIZE=6][SIZE=4][SIZE=6][SIZE=4] vascr\
 ipt

Тестируем
Под микроскопом у меня документ с сюрпризом в виде

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Проверим на VBA скрипты:

olevba exploit.doc

Нам сразу выкидавыет тонны строк VBA скрипта, а в конце ещё и показывают, что он делает.

Следующим подопытным выступает PDF файл.

Используем pdfid для просмотра всех объектов в файле

Как видим, здесь есть /ObjStm объекты. Что бы убедиться, что они не делают ничего вредоносного, извлечём их из файла и рассмотрим отдельно с помощью утилиты pdf-parser.​

В моём случае нет ничего страшного.​

​

Всем спасибо за внимание! ​

 

[HHIDE_DUMP]

Хотел засунуть весь текст под спойлер, но у меня это вышло как-то косячно поэтому пусть будет открытым.