コラム
» 2010年03月02日 13時58分 UPDATE

PDFファイルを分析する

悪意あるPDFファイルコーディングに段階的変化が見られる。getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用して分析するのは有効かもしれない。

[fsecure_response,エフセキュア]

 悪意あるPDFファイルコーディングに段階的変化が見られる(マルウェアオーサーは自分たちのテクニックを適応させることができるし、実際適応させてきたことを考えれば当然のことだ)。

 長いことわれわれは、シェルコード、ダウンロード/実行、ドロップ、ロードなどなど、悪質なコードの目的を容易に判別できるような、シンプルな悪意あるPDFファイルを見てきた。

 現在は、ますます複雑な難読化が使用されており、PDFファイルを分析することが必要だ。特にこの難読化により、自動化された分析ツールやAV検出ツールさえ回避される可能性があるため、このことは、アナリストの日常生活をより惨めに、あるいは興味深いものにし得る。

 ここ数カ月、わたしが遭遇した1つのテクニックは、getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用するものだ。以下はある例のスクリーンショットだ。

tnfig1.jpg

 保守的なスタイルのスペーシングが使用されていることに注意してほ欲しい。ノートパッドのコメントは、より簡単に読めるように加えられたものだ。

 いずれにせよ、いったんこれが標準化されれば、読んだり分析するのが、ずっと容易なものになるだろう。

tnfig2.jpg

 PDF難読化に関する興味深い分析は、SANSにも掲載されている。

 投稿はZimryによる。



原文へのリンク

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -