Nieuws

Online scanner controleert besmette PDF-bestanden Update

woensdag 22 april 2009, 09:50 door Redactie, 7 reacties

De Belgische beveiligingsonderzoeker Didier Stevens ontwikkelde onlangs een gratis tool voor het detecteren van kwaadaardige PDF-bestanden, die nu ook aan VirusTotal is toegevoegd. Geprepareerde PDF-documenten worden regelmatig bij gerichte aanvallen ingezet. Veel slachtoffers beseffen niet dat het openen van een PDF-bestand net zo gevaarlijk als het openen van een executable kan zijn. Daarnaast blijkt dat veel PDF-lezers, zoals Adobe Reader, niet worden geupdate. PDFiD controleert PDF-bestanden door naar verschillende elementen te kijken die op een kwaadaardig document kunnen duiden.

Update 13:10
Didier Stevens stuurde ons de volgende aanvullende informatie. "Het tooltje is toegevoegd aan VirusTotal voor het geval geen enkele virusscanner een malware in de PDF detecteert. Dit gebeurt wel vaker met nieuwe exploits. PDFiD toont een statistiek van basiselementen in de PDF. Al deze cijfers worden uitgelegd op de pagina van het tooltje zelf.

Maar in een notedop: als de PDF JavaScript bevat (/JS en/of /JavaScript verschillend van 0) en een automatische actie onderneemt (/OpenAction en/of /AA verschillend van 0), dan is de kans groot dat het om een malicious PDF document gaat. Het tooltje houd ook rekening met mogelijk obfuscation van de PDF names. De meeste virusscanners houden hier geen rekening mee. Het is dus een triage tool voor het geval virusscanners niets detecteren, het vervangt een virusscanner niet."

Verdere ontwikkelingen die Stevens van plan is toe te voegen:

Dumpen van de timestamps.
Berekenen van de entropie in en buiten de streams.
Decompressen van object streams + scannen van de objects bevat in deze object streams.
Bewaren van het PDF bestand in een aangepaste vorm zodat de JavaScript en automatische acties uitgeschakeld worden.

Hackers maken gehakt van draadloze IP-camera

Joint Strike Fighter hack; hype of werkelijkheid?

Reacties (7)

22-04-2009, 10:30 door Kukel

Zou mijn virusscanner (ja, op linux draai ik die ook) dit niet moeten detecteren?

22-04-2009, 10:41 door micmast

Door Kukel: Zou mijn virusscanner (ja, op linux draai ik die ook) dit niet moeten detecteren?

zou moeten, maar dat is niet altijd het geval. AV scanners zoeken naar signatures en niet perse naar bepaalde tags. Ik ga niet zeggen dat er geen enkel AV het ondersteunt, maar ik kan geloven dat er zijn die dat niet doen

22-04-2009, 12:21 door Paultje

En onder de leken onder ons....Zou meneer Didier Stevens kunnen uitleggen wat deze resultaten eigenlijk allemaal betekenen? Hoe kun je een viraal bestand uit deze cijfermatige warboel wijs worden? Het is maar een vraagje hoor!

22-04-2009, 12:53 door micmast

Door Paultje: En onder de leken onder ons....Zou meneer Didier Stevens kunnen uitleggen wat deze resultaten eigenlijk allemaal betekenen? Hoe kun je een viraal bestand uit deze cijfermatige warboel wijs worden? Het is maar een vraagje hoor!

De cijfertjes duiden aan hoevaak een tag voorkomt in een bepaald document. Dit zegt op zich bijzonder weinig tot niets, maar kan je wel een indicatie geven of er iets niet in orde is. Het zal zeker niet 100% zeker kunnen zeggen of er een virus in zit of niet, gewoon of er een mogelijkheid is tot.

22-04-2009, 12:56 door Didier Stevens

Ik heb bijkomende informatie naar de redactie gestuurd, ik verwacht een update van dit artikel.

Maar PDFiD vervangt een AV scanner niet, het helpt je enkel vooruit indien AV scanners niets detecteren.

22-04-2009, 13:01 door Didier Stevens

Door PaultjeEn onder de leken onder ons....Zou meneer Didier Stevens kunnen uitleggen wat deze resultaten eigenlijk allemaal betekenen? Hoe kun je een viraal bestand uit deze cijfermatige warboel wijs worden? Het is maar een vraagje hoor!

De 4de link in het artikel geeft alle uitleg over deze resultaten: http://blog.didierstevens.com/programs/pdf-tools/#pdfid

Het is maar een antwoord hoor ;-)

22-04-2009, 14:40 door Anoniem

Malware wordt meestal verkocht met een SLA dat de meeste commercieel (en gratis) verkrijgbare scanners die niet detecteren. Anders heeft het niet zo veel zin om een botnet te huren voor veel geld en een SPAM run te doen.

Daarom wordt malware tegenwoording nauwelijks nog gedetecteerd door anti-virus scanners. Triest maar waar.

Vroeger (voor 2006) deden virussen nog wel eens 'pijn' op de PC of netwerk - tegenwoordig merk je niets meer als je PC is ge-infecteerd, en doet de trojan rustig zijn werk.

Ik hoor vaak van mensen dat ze al tijden geen problemen hebben gezien met virussen: "we zijn heel tevreden over onze anti-virus oplossing - we zien nooit wat". Dat wil helaas niet zeggen dat je geen systemen hebt die ge-infecteerd zijn...

Gegroet,

Richard

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer