Características:
- – Deteccion de documentos PDF maliciosos
- – Escrita en Python
- – Línea de comandos
- – Consola interactiva
- – Opción archivo de comandos
- – Incluida en la distro Backtrack
- – Creación de un PDF básico
- – Decodificación: hexadecimal, octal, objetos name
- – Análisis y modificación de Javascript
- – Extracción de versiones antiguas del documento
- – Modificación de objetos
- – Otros
Esta herramienta se presente en el Congreso de Seguridad informática “RootedCON“:
| Obfuscation and (non-)detection of malicious PDF files |
| José Miguel Esparza |
|
Ya hace tiempo que el formato PDF dejó de ser un formato inocuo y pasó a engrosar la lista negra de archivos inseguros. Se trata de un formato muy extendido y a pesar de los peligros evidentes muchos usuarios ignoran este hecho, convirtiéndolo en un objetivo claro para los ciberdelincuentes.
La mayoría de los exploits existentes usan Javascript, ya sea para lanzar cierta vulnerabilidad o realizar heap-spraying, por lo que es algo que las casas antivirus suelen buscar a la hora de identificar archivos sospechosos. Sin embargo, las técnicas de detección utilizadas no son muy sofisticadas y pueden evitarse fácilmente. En esta charla se mostrarán diferentes técnicas que permiten crear archivos PDF maliciosos con muy baja detección por parte de los antivirus, mostrando los puntos débiles de los parsers actuales. Además se presentará “peepdf”, una nueva herramienta que cubre algunos de los huecos en el análisis de este tipo de archivos y que permite también su modificación/ofuscación.
|
José Miguel Esparza – Obfuscation and (non-)detection of malicious PDF files [RootedCON 2011]
Lo puedes ver y descargar desde este enlace.
Fuente: Cryptex
Relacionado
