• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Читлист по анализу вредоносных документов

Dr.Lafa

Dr.Lafa

Mod. Hardware
Gold Team
30.12.2016
510
1 036
Привет, мир! В этой небольшой шпаргалке хочу описать способ ручной проверки документов на наличие вредоносов. Чаще всего оружием тёмной стороны становятся документы MS Office ( doc, rtf, xls, ppt, pptx, etc. ) и PDF

Общий подход к анализу документов
  1. Проверить документ на опасные теги и скрипты
  2. Найти встроенный код, такой как shellcode, VBA-макрос, Javascript, Powershell и другие
  3. Извлечь подозрительный код или объект из файла
  4. Если возможно, деобфуцировать извлечённый код (хотя с очень большой долей вероятности обфуцированный код является вредоностым)
Инструменты для анализа MS Office файлов
- многофункциональный набор инструментов на Python для анализа файлов, таких как документы Microsoft Office (MS Word, Excel, Powerpoint, etc.)
Установка на Linux:
Код:
sudo -H pip install -U oletools
Установка на Windows:
Код:
pip install -U oletools
инструменты в пакете:


У oletools есть свой довольно неплохой , так что разобраться не составит труда.

pcodedmp - дизассемблер (по сути шелл кода) из документов. Для запуска требуется oletools.
Инструменты для анализа PDF файлов


PDF Stream Dumper - утилита с графическим интерфейсом под Windows для анализа PDF.
pdf-parser - позволяет извлекать отдельные элементы PDF-файла, такие как заголовки, ссылки и прочее.
pdfid - перечисляет все объекты PDF-файла.
peepdf - довольно мощный инструмент для анализа. Включает в себя поиск shellcode, Javascript и много чего ещё. Включён по умолчанию в .

pdfxray - имеет большую часть нужных утилит в виде отдельных python скриптов, но требует много зависимостей.
На что стоит обратить внимание при анализе PDF


В первую очередь на названия объектов, присутствующих в PDF:

  • /OpenAction и /AA могут автоматически выполнять скрипты
  • /JavaScript и /JS соответственно запускают js
  • /GoTo изменяет видимую страницу файла, может автоматически открывать перебрасывать на другие PDF файлы
  • /Launch запускает программу или открывает документ
  • /SubmitForm и /GoToR может отправлять данные по URL
  • /RichMedia может использоваться для встраивания flash
  • /ObjStm может скрывать объекты
В вредоносных PDF редко можно встретить чистый необфуцированный код. Самый простые виды обфускации - HEX-кодирование, такое как /J#61vaScript вместо /Javascript и перенос строк:
Код:
/Ja\[/SIZE][/SIZE][/SIZE][/SIZE]
[SIZE=6][SIZE=4][SIZE=6][SIZE=4] vascr\
 ipt
Тестируем

Под микроскопом у меня документ с сюрпризом в виде CVE-2017-11882
Читлист по анализу вредоносных документов


Проверим на VBA скрипты:
Код:
olevba exploit.doc
Читлист по анализу вредоносных документов

Нам сразу выкидавыет тонны строк VBA скрипта, а в конце ещё и показывают, что он делает.

Следующим подопытным выступает PDF файл.
Используем pdfid для просмотра всех объектов в файле
Читлист по анализу вредоносных документов


Как видим, здесь есть /ObjStm объкты. Что бы убедиться, что они не делают ничего вредоносного, извлечём их из файла и рассмотрим отдельно с помощью утилиты pdf-parser.
Читлист по анализу вредоносных документов

В моём случае нет ничего страшного.

Надеюсь, этот читлист поможет вам, удачи!
 

Вложения

ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Статья понравилась :) спасибо ТС очень полезно
 
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 293
Хорошая статья. Пригодится)
 
  • Нравится
Реакции: nikos
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 152
3 384
Очень хорошо преподнесён подбор материала.Спасибо,точно пригодится (не дай ,высшие силы терминала,самому конечно).
Но при аудите будет актуально во время оказания помощи кому-нибудь.
 
  • Нравится
Реакции: valerian38 и ghost
Shihskauskas

Shihskauskas

Member
06.11.2017
21
6
Ого, дад тут полный инструментарий. Будем знать от каких инструментов прятать =)
 
F

Fn3o2z7st

Спасибо за статью. Добавлю, что pdfid умеет очищать только от JS и AA пдфки при использовании ключа d.
pdfid -d книжка.pdf​

Чтобы полностью очистить от всего, я использую конвертацию с помощью pdf2ps и после первой конвертации повторно перевожу постскрипт в pdf с помощью ps2pdf. Стоит отметить, что при такой конвертации JS и AA остаются. Поэтому не чистые pdf файлы чистю трёхэтапно.

  1. pdf2ps книжка.pdf
  2. ps2pdf книжка.ps
  3. pdfid -d книжка.pdf
 
  • Нравится
Реакции: Dr.Lafa
studentfn

studentfn

Well-known member
02.02.2018
93
34
Спасибо за информацию!
Кстати, тогда еще интересный момент для обсуждения: как по умолчанию обрабатывают такие скрипты и URL разные читалки под Андроид?
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб