Как извлечь вредоносный файл из PDF-документа

Анализ компьютерных вирусов

Мы уже рассказывали, про анализ подозрительных PDF-документов. Сегодня продолжу эту тему и расскажу о своем опыте извлечения вредоносного бинарного файла, найденного внутри PDF-документа.

Еще по теме: Как восстановить удаленные метаданные PDF

Извлечение вредоносного файла из PDF

Пример, над которым я работал, можно скачать с MalwareBazaar.

Для начала я использовал Peepdf, чтобы получить общее представление о файле PDF. Однако появилась ошибка, которая указала на некорректный заголовок файла.

Ошибка показала, что перед номером версии PDF слишком много символов «дефис» (-). После удаления лишних символов Peepdf успешно распознал PDF.

Этот результат уже показал нам интересные вещи: в PDF есть JavaScript и встроенный файл. Начнем с объекта /OpenAction (объект 1).

В интерактивной оболочке Peepdf можно использовать команду object 1, чтобы посмотреть содержимое этого объекта.

Мы видим файл RFQ_4155965-Order_EU2406 с расширением .uue. Это указывает на то, что файл закодирован в формате Uuencode. Далее я расскажу, как извлечь этот файл.

Теперь перейдем к объекту 8, который содержит встроенный файл.

Здесь подтверждается, что /OpenAction используется для запуска встроенного бинарного файла.

Для извлечения файла я использовал инструмент PDF Stream Dumper.

Загрузил PDF, выбрав Load —> Pdf File в панели инструментов.

Извлечение вредоносного файла из PDF

Затем нашел объект 8, который был идентифицирован ранее.

Извлечение вируса из PDF

Правой кнопкой мыши выбрал Save Decompressed Stream.

ПДФКак извлечь вирус из PDF

Файл был сохранен с расширением .ZIP, так как файлы Uuencode можно извлечь из архива ZIP. После распаковки архива появился извлеченный бинарный файл.

После успешного извлечения файла я использовал Detect It Easy для анализа.

Извлечь вирус PDF Detect It Easy

Детали бинарного файла:

Имя файла:

Хeш SHA256:

Результат VirusTotal однозначно показали, что это вредоносный файл.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий