Как легко проверить, есть ли в файле вирус без антивируса
Categories
В большинстве вариантов кибератак участники угроз используют законные документы, загруженные вредоносными программами, поэтому исследователи часто говорят, что все начинается с файла Word, презентации Power Point, электронной таблицы Excel или даже книги, загруженной с бесплатного веб-сайта файла PDF.
Мы не призываем вас к каким-либо действиям, статья написана исключительно в ознакомительных целях, чтобы уберечь читателя от противоправных действий.
На этот раз эксперты по цифровой криминалистике из Международного института кибербезопасности(IICS) покажут вам простой способ вручную проверить любые подозрительные документы и проверить, загружены ли они вредоносными программами.
Вообще говоря, все методы анализа файлов включают в себя следующие элементы:
- Проверьте документ на наличие опасных тегов и скриптов
- Обнаружение онлайн-кода, такого как шелл-код, макрос VBA, Javascript, Powershell и многое другое
- Извлеките подозрительный код или объект из файла
- Если это возможно, удалите извлеченный код (хотя, с очень высокой степенью вероятности, запутанный код вреден)
ИНСТРУМЕНТЫ ДЛЯ АНАЛИЗА ФАЙЛОВ MICROSOFT OFFICE
Oletools: это мощный инструментарий Python для анализа файлов Microsoft OLE2, в первую очередь документов Microsoft Office, таких как Word или Power Point files, упомянутых экспертами по цифровой криминалистике.
Для установки в Linux просто выполните следующую команду:
sudo -H pip install -U oletools
С другой стороны, если вы хотите установить этот инструмент в системах Windows, вы должны использовать следующую команду:
pip install -U oletools
В этом пакете вы можете найти много других инструментов, в том числе:
- мраптор
- olebrowse
- oledir
- олеид
- olemap
- олемета
- oleobj
- олетимес
- олевба
- pyxswf
- rtfobj
PCODEDMP: это дизассемблер кода document Pi (по сути, шелл-код). Цифровые эксперты-криминалисты упоминают, что для правильной работы этого инструмента требуются oletooles.
ИНСТРУМЕНТЫ АНАЛИЗА PDF-ФАЙЛОВ
PDF Stream Dumper: это графическая утилита Windows для анализа PDF-файлов, Очень популярная среди сообщества специалистов по кибербезопасности.
PDF-parser: использование этого инструмента позволяет цифровым судебным экспертам извлекать отдельные элементы из PDF-файла, такие как заголовки, ссылки и многое другое, для детального анализа.
PDFID: PDFID перечисляет все объекты в отсканированном PDF-файле.
PEEPDF: это довольно мощный фреймворк анализа, который включает в себя поиск shellcode, Javascript и многое другое. PEEPDF включен по умолчанию в Kali Linux.
PDFxray: этот инструмент имеет большинство необходимых утилит в виде отдельных скриптов Python, но требует многих зависимостей, упомянутых цифровыми судебными экспертами.
ЧТО МЫ ДОЛЖНЫ ИСКАТЬ ПРИ АНАЛИЗЕ ДОКУМЕНТА PDF?
Во-первых, цифровые криминалисты рекомендуют искать следующие параметры:
- /OpenAction и /AA, так как они могут запускать скрипты автоматически
- /JavaScript и / JS соответственно запускают js
- /GoTo, так как это действие изменяет видимую страницу файла, может автоматически открывать и перенаправлять на другие PDF-файлы
- / Launch позволяет запустить программу или открыть документ
- /SubmitForm и / GoToR могут отправлять данные по URL
- / RichMedia может использоваться для встраивания флэш-памяти
- / ObjStm может скрывать объекты
Редко можно найти чистый и не слитой код в вредоносные PDF-файлы. Простейшими типами обфускации являются шестнадцатеричное кодирование, такое как /J s 61vaScript вместо /Javascript и разрывы строк:
/Ja\[/SIZE][/SIZE][/SIZE][/SIZE]
[SIZE=6][SIZE=4][SIZE=6][SIZE=4] vascr\
Ipt
ТЕСТ НА БЕЗОПАСНОСТЬ
На этом этапе мы будем использовать документ, загруженный вредоносным ПО, чтобы использовать недостаток, отслеживаемый как CVE-2017-11882.
Давайте рассмотрим скрипты VBA:
olevba exploit.doc
Сразу же мы найдем тонны строк скрипта VBA, и в конце концов они также покажут, что он делает. Следующий тест заключается в анализе PDF-файла с помощью PDFID для просмотра всех объектов в файле.
PDF-файл содержит объекты /ObjStm. Чтобы убедиться, что они не оказывают негативного влияния на наши системы, мы можем извлечь эти объекты из файла и рассмотреть их отдельно с помощью PDF-парсера.
Чтобы узнать больше о рисках информационной безопасности, вредоносных программах, уязвимостях и информационных технологиях, не стесняйтесь заходить на сайт Международного института кибербезопасности (IICS).