悪意あるPDFファイル・コーディングに段階的変化が見られる(マルウェア・オーサーは自分たちのテクニックを適応させることができるし、実際適応させてきたことを考えれば当然のことだ)。
長いこと我々は、シェル・コード、ダウンロード/実行、ドロップ、ロード等々、悪質なコードの目的を容易に判別できるような、シンプルな悪意あるPDFファイルを見てきた。
現在は、ますます複雑な難読化が使用されており、PDFファイルを分析することが必要だ。特にこの難読化により、自動化された分析ツールやAV検出ツールさえ回避される可能性があるため、このことは、アナリストの日常生活をより惨めに、あるいは興味深いものにし得る。
ここ数ヶ月、私が遭遇した1つのテクニックは、getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用するものだ。以下はある例のスクリーンショットだ:
保守的なスタイルのスペーシングが使用されていることに注意して欲しい。ノートパッドのコメントは、より簡単に読めるように加えられたものだ。
いずれにせよ、一旦これが標準化されれば、読んだり分析するのが、ずっと容易なものになるだろう:
PDF難読化に関する興味深い分析は、SANSにも掲載されている。
投稿はZimryによる。
長いこと我々は、シェル・コード、ダウンロード/実行、ドロップ、ロード等々、悪質なコードの目的を容易に判別できるような、シンプルな悪意あるPDFファイルを見てきた。
現在は、ますます複雑な難読化が使用されており、PDFファイルを分析することが必要だ。特にこの難読化により、自動化された分析ツールやAV検出ツールさえ回避される可能性があるため、このことは、アナリストの日常生活をより惨めに、あるいは興味深いものにし得る。
ここ数ヶ月、私が遭遇した1つのテクニックは、getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用するものだ。以下はある例のスクリーンショットだ:
保守的なスタイルのスペーシングが使用されていることに注意して欲しい。ノートパッドのコメントは、より簡単に読めるように加えられたものだ。
いずれにせよ、一旦これが標準化されれば、読んだり分析するのが、ずっと容易なものになるだろう:
PDF難読化に関する興味深い分析は、SANSにも掲載されている。
投稿はZimryによる。
