Análisis de documentos PDF en busca de código malicioso.

Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder información mediante la codificación y compresión de streams. Esta característica es utilizada para esconder código Javascript y explotar las vulnerabilidades del lector PDF y así comprometer la seguridad del sistema.

Con la herramienta Origami es posible buscar código malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el análisis.

Entre las características de Origami destaca:

  • Permite explorar documentos a nivel de objeto, buscando código en streams codificados o ofuscados.
  • Realiza operaciones de alto nivel, tales como: encriptación, desciframiento y firma.
  • Posee un interfaz grafico para analizar rápidamente en el contenido del documento.

Origami contiene un conjunto de scripts para facilitar el análisis y otras tareas:

  • detectjs.rb: busca código Javascript en el documento.
  • embed.rb: agrega un attachment al documento.
  • create-jspdf.rb: agrega código Javascript a un archivo PDF, que se ejecutara cuando se abra el documento.
  • moebius.rb: transforma un PDF en moebius.
  • encrypt.rb: cifra un archivo PDF.

Más información y descarga de Origami:
http://security-labs.org/origami

2 comentarios en “Análisis de documentos PDF en busca de código malicioso.

  • el octubre 12, 2009 a las 3:17 pm
    Permalink

    Perdona, una pregunta. Los antivirus comunes no detectan el codigo malicioso de los documentos PDF?

    Respuesta
  • el octubre 13, 2009 a las 2:51 pm
    Permalink

    Algunos si pero la mayoría no los detectan es mas ni siquiera analizan archivos en PDF. Y los pocos que los detectan no son muy efectivos, pero es algo normal el código malicioso suele aprovechar fallos de seguridad del lector PDF que muchas veces el propio fabricante tarda mucho en corregir. En este caso hay que aplicar la regla de no abrir archivos que no confiemos en su procedencia.

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: