NgMSon
Well-Known Member
-
22/03/2017
-
747
-
669 bài viết
Hướng dẫn phân tích File PDF đáng ngờ bằng công cụ PDF Stream Dumpe
Bài viết liên quan : https://whitehat.vn/threads/6-cong-cu-ho-tro-phan-tich-tep-tin-pdf-doc-hai.9408/
( 6 Công cụ hỗ trợ phân tích File PDF độc hại và đáng ngờ. )
Như ở bài viết trên , tôi đã giới thiệu đến mọi người 6 công cụ hỗ trợ cho việc phân tích File PDF độc hại ( đáng ngờ ) gồm : PDF Tools , PDF Stream Dumper , Jsunpack-n , Peepdf , Origami , MalObjClass .
Hôm nay tôi sẽ sử dụng công cụ PDF Stream Dumper để phân tích File PDF độc hại . Về phần Download công cụ
PDF Stream Dumper thì các bạn có thể dễ dàng tìm kiếm trên mạng hoặc có thể truy cập vào links sau :
http://sandsprite.com/blogs/index.php?uid=7&pid=57
để Download.
I. Kiểm tra một File PDF đáng ngờ .
Sau khi cài đặt PDF Dump Stream, tải tệp PDF đáng ngờ vào đó và bắt đầu tìm kiếm xung quanh. Công cụ này bao gồm một số chữ ký của khai thác các tệp PDF được biết đến. Để quét tệp tin, chọn "Exploits_Scan"
Trong trường hợp này, PDFStreamDumper xác định khai thác và xác định nơi nó có trong tệp PDF:
Khai thác CVE-2007-5659 - collectEmailInfo - Tìm thấy trong luồng: 31
Bạn có thể sử dụng khung bên trái của công cụ để di chuyển qua các đối tượng của tệp để kiểm tra nội dung của chúng. Công cụ này sẽ giải mã hơi khi cần thiết. Ví dụ xem stream trong luồng 31
cho thấy chúng ta đã nhúng mã JavaScript:
Một cách khác để định vị các đối tượng đáng ngờ trong tệp PDF là sử dụng tính năng "Tìm kiếm" của công cụ, có thể tự động xác định vị trí các đối tượng Flash, các đối tượng Flash trong số các thực thể khác:
II . Kiểm tra JavaScript trong tệp tin PDF Độc hại.
Khi xem JavaScript được nhúng trong một đối tượng PDF, chúng ta có thể nhấp vào nút "JavaScript_UI" để đưa trình xem và thông dịch JavaScript tương tác, được tích hợp vào PDF Dump Stream:
Đôi khi, các tập lệnh được nhúng vào trong các tệp PDF bị tê liệt. PDF Stream Dumper cho phép bạn chạy những tập lệnh này bằng cách sử dụng thông dịch viên tích hợp, có thể giúp bạn deobfuscate chúng.
Trong ví dụ chúng tôi đang kiểm tra ngay bây giờ, kịch bản không bị tê liệt. Nó có vẻ như chứa văn bản được mã hoá Unicode, có thể là shellcode:
III. Kiểm tra shellcode
Shellcode thường được sử dụng để lưu trữ trọng tải của khai thác - mã độc hại sẽ được thực hiện trên hệ thống của nạn nhân. PDF Dumper hơi cung cấp một số công cụ để hiểu các khả năng của shellcode nhúng vào trong tập tin mặc dù trình đơn "Shellcode_Analysis" của nó.
Ví dụ, chúng ta có thể chọn "scSigs" để giả lập việc thực thi kịch bản sử dụng công cụ LibEmu có trong shellcode:
Công cụ nhận dạng chữ ký của WriteFile và WinExec. Mã vỏ này có thể sử dụng các cuộc gọi này để lưu và thực thi một cửa sổ độc hại, có thể tải xuống từ Internet hoặc có thể được nhúng vào trong tệp PDF.
Chúng ta có thể có được một shellcode bằng cách chạy nó bằng cách sử dụng mô-đun logger iDefense shell logger "sclog":
Bây giờ chúng ta chắc chắn rằng chúng ta đang xử lý một tệp PDF độc hại khai thác lỗ hổng CVE-2007-5659 trong Acrobat Reader để trích xuất và chạy một tệp tin thực thi độc hại được nhúng trong PDF. Chúng ta cần thực hiện các bước bổ sung để trích xuất và kiểm tra tệp thi hành, nhưng điều này nằm ngoài phạm vi của lưu ý ngắn gọn này.
( 6 Công cụ hỗ trợ phân tích File PDF độc hại và đáng ngờ. )
Như ở bài viết trên , tôi đã giới thiệu đến mọi người 6 công cụ hỗ trợ cho việc phân tích File PDF độc hại ( đáng ngờ ) gồm : PDF Tools , PDF Stream Dumper , Jsunpack-n , Peepdf , Origami , MalObjClass .
Hôm nay tôi sẽ sử dụng công cụ PDF Stream Dumper để phân tích File PDF độc hại . Về phần Download công cụ
PDF Stream Dumper thì các bạn có thể dễ dàng tìm kiếm trên mạng hoặc có thể truy cập vào links sau :
http://sandsprite.com/blogs/index.php?uid=7&pid=57
để Download.
I. Kiểm tra một File PDF đáng ngờ .
Sau khi cài đặt PDF Dump Stream, tải tệp PDF đáng ngờ vào đó và bắt đầu tìm kiếm xung quanh. Công cụ này bao gồm một số chữ ký của khai thác các tệp PDF được biết đến. Để quét tệp tin, chọn "Exploits_Scan"
Trong trường hợp này, PDFStreamDumper xác định khai thác và xác định nơi nó có trong tệp PDF:
Khai thác CVE-2007-5659 - collectEmailInfo - Tìm thấy trong luồng: 31
Bạn có thể sử dụng khung bên trái của công cụ để di chuyển qua các đối tượng của tệp để kiểm tra nội dung của chúng. Công cụ này sẽ giải mã hơi khi cần thiết. Ví dụ xem stream trong luồng 31
cho thấy chúng ta đã nhúng mã JavaScript:
Một cách khác để định vị các đối tượng đáng ngờ trong tệp PDF là sử dụng tính năng "Tìm kiếm" của công cụ, có thể tự động xác định vị trí các đối tượng Flash, các đối tượng Flash trong số các thực thể khác:
II . Kiểm tra JavaScript trong tệp tin PDF Độc hại.
Khi xem JavaScript được nhúng trong một đối tượng PDF, chúng ta có thể nhấp vào nút "JavaScript_UI" để đưa trình xem và thông dịch JavaScript tương tác, được tích hợp vào PDF Dump Stream:
Đôi khi, các tập lệnh được nhúng vào trong các tệp PDF bị tê liệt. PDF Stream Dumper cho phép bạn chạy những tập lệnh này bằng cách sử dụng thông dịch viên tích hợp, có thể giúp bạn deobfuscate chúng.
Trong ví dụ chúng tôi đang kiểm tra ngay bây giờ, kịch bản không bị tê liệt. Nó có vẻ như chứa văn bản được mã hoá Unicode, có thể là shellcode:
III. Kiểm tra shellcode
Shellcode thường được sử dụng để lưu trữ trọng tải của khai thác - mã độc hại sẽ được thực hiện trên hệ thống của nạn nhân. PDF Dumper hơi cung cấp một số công cụ để hiểu các khả năng của shellcode nhúng vào trong tập tin mặc dù trình đơn "Shellcode_Analysis" của nó.
Ví dụ, chúng ta có thể chọn "scSigs" để giả lập việc thực thi kịch bản sử dụng công cụ LibEmu có trong shellcode:
Công cụ nhận dạng chữ ký của WriteFile và WinExec. Mã vỏ này có thể sử dụng các cuộc gọi này để lưu và thực thi một cửa sổ độc hại, có thể tải xuống từ Internet hoặc có thể được nhúng vào trong tệp PDF.
Chúng ta có thể có được một shellcode bằng cách chạy nó bằng cách sử dụng mô-đun logger iDefense shell logger "sclog":
Bây giờ chúng ta chắc chắn rằng chúng ta đang xử lý một tệp PDF độc hại khai thác lỗ hổng CVE-2007-5659 trong Acrobat Reader để trích xuất và chạy một tệp tin thực thi độc hại được nhúng trong PDF. Chúng ta cần thực hiện các bước bổ sung để trích xuất và kiểm tra tệp thi hành, nhưng điều này nằm ngoài phạm vi của lưu ý ngắn gọn này.