Zararlı PDF Analizi

Zararlı PDF Analizi

Zararlı dökümanlar üzerinde bazı analizler yapıldı, özellike PDF’te. Sonra bu analiz makaleye dönüştürüldü. Bu Yazıda zararlı bir Pdf’in analizi nasıl yapıldığından bahsedeceğiz.

Analizimiz üzerine çalışmaya başlayalım:

Bir antivirüs satıcısından rapor olarak yollanmış bir pdf dosyasını taramam için istek aldım ve bu dosya için zararlı değildir diye cevap çıkmıştı.İsteği alma nedenim PDF’i üretenlerin analizi tatmin edici olmamasıydı, diğer antivirüs araçları doküman için zararlı raporu çıkarınca, bu olay üzerine gelen istekte ikinci fikir için sorumlu oldu.Takımın dosyaya dahil olmuş bir risk için kanıta ihtiyacı vardı.

Dosya hakkındaki başlangıç analizini yönetirken, şüpheli bir şey keşfettim.

PDF dosyasındaki obje yapılarının analizinden sonra zararlı URL’i belirlemek mümkün. Bu zararlı yapı PDF dokümanı açılırken çalıştırılmaya başlanıyor. Demek ki, kullanıcı kendi bilgisayarında ya da istasyonunda dosyayı açtığı zaman gizli olarak yer almış aşağıda gösterilen URL çağrılıyor ve olay akışı başlıyor.

Domain doğrulaması gerçekleştirirken domaine bağlanmış IP’ye ulaşmak mümkün.

URL için saygınlık analizi gerçekleştirdiğimiz sırada, zararlı bir niyet gösteren geçmişi belirledik.

IP saygınlığı analizi gerçekleştirdiğimiz sırada, gene zararlı bir niyet gösteren geçmiş belirledik.

İlginç olan şey, yıllar önceyi düşündüğümüzde enfeksiyonun zararlı bir kod üzerinden gerçekleşeceğini demezdik.URL, shellcode gibi şeylerin gizlenerek  PDF, DOC, DOCx, XLS, XLSx ve PPT dosyalarının içine gömülmekte.Çoğu güvenlik araçları için şunu diyebilirizki yeni olarak ortaya çıkmış saldırı ve enfeksiyonlara karşı her zaman adapte edilmesi gerekli.

Antivirüs araçlarının genellike yapamadığı şeyler için,güvenlik uzmanlarının kendilerini geliştirerek bu tarz analizleri gerçekleştimeleri artık gerekli olmakta.

Kaynak: https://www.linkedin.com/pulse/malicious-pdf-analysis-zoziel-pinto-freire/?published=t

Related Posts

Facebook Comments