Inspeccionando un archivo PDF.

Posted: 1/7/10 by komz in Etiquetas: , , ,
0

Debido a la gran cantidad de archivos PDF infectados los cuales son explotado por multiples vulnerabilidade, la compañaia Zynamics ha creado la aplicacion denominada PDF Dissector,  una aplicación escrita en Java que muestra el contenido del documento de forma estructurada, facilitando las tareas de la inspección.


El uso de la herramienta es sencillo pero requiere conocimientos en el formato de los PDF y sus posibilidades.
Entre sus principales características destacan:
  1. Presenta el archivo de forma "física" o "lógica". Es decir, tal y como esta almacenado en disco o siguiendo la estructura del documento.
  2. Opciones desarrolladas para la extracción y compresión del código JavaScript (en el que generalmente se introduce la vulnerabilidad):
    • Decodifica los objetos "Stream" que contengan código. De tal forma que se facilite la extracción, ya que en ocasiones los objetos estas comprimidos y no pueden ser vistos directamente.
    • Ejecución en un intérprete propio Javascript, para entender el código malicioso.
    • Ejecución en una emulación del intérprete de Javascript de Acrobat
    • Procesamiento del código, tabulando y mostrándolo de forma más visual y comprensible.
  3. Identificación de vulnerabilidades conocidas.

Dejamos algunas capturas con los ejemplos más habituales de su uso, también un par de videos [1] [2] muy instructivos y un breve manual. (visitar la página del producto)

La parte izquierda de la ventana muestra la interpretación física del archivo PDF, en la que se ha seleccionado un objeto que contiene código Javascript. En la parte derecha en amarillo se ve ese código comprimido.


El objeto Stream es decodificado y mostrado al pulsar en la pestaña "Decoded".


En la parte superior se muestra la interpretación y visualización del código js ofuscado para su análisis manual. La parte inferior contiene una tabla con el resultado de la ejecución del código en el propio intérprete. Esta ventana es un editor y permite modificar nombres de variables y funciones para que la lectura sea más sencilla.

 

Esta captura muestra cómo se visualiza el árbol de contenido cuando se selecciona la pestaña "logic", lo que permite encontrar rápidamente las acciones que se conocen más peligrosas.



El precio de la aplicacion es de 250$ para la licencia de un único usuario durante un año, posteriormente si se desea mantener la actualización, será necesario abonar un 80% del precio anualmente, en este caso 200$.<
fuente: securitybydefault.com

0 comentarios: