En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Análisis de documentos PDF en busca de código malicioso.

Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder información mediante la codificación y compresión de streams. Esta característica es utilizada para esconder código Javascript y explotar las vulnerabilidades del lector PDF y así comprometer la seguridad del sistema.

Con la herramienta Origami es posible buscar código malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el análisis.

Entre las características de Origami destaca:

  • Permite explorar documentos a nivel de objeto, buscando código en streams codificados o ofuscados.
  • Realiza operaciones de alto nivel, tales como: encriptación, desciframiento y firma.
  • Posee un interfaz grafico para analizar rápidamente en el contenido del documento.

Origami contiene un conjunto de scripts para facilitar el análisis y otras tareas:

  • detectjs.rb: busca código Javascript en el documento.
  • embed.rb: agrega un attachment al documento.
  • create-jspdf.rb: agrega código Javascript a un archivo PDF, que se ejecutara cuando se abra el documento.
  • moebius.rb: transforma un PDF en moebius.
  • encrypt.rb: cifra un archivo PDF.

Más información y descarga de Origami:
http://security-labs.org/origami
Análisis de documentos PDF en busca de código malicioso. Análisis de documentos PDF en busca de código malicioso. Reviewed by Álvaro Paz on miércoles, octubre 07, 2009 Rating: 5

2 comentarios:

sCr.LR dijo...

Perdona, una pregunta. Los antivirus comunes no detectan el codigo malicioso de los documentos PDF?

Alvaro Paz dijo...

Algunos si pero la mayoría no los detectan es mas ni siquiera analizan archivos en PDF. Y los pocos que los detectan no son muy efectivos, pero es algo normal el código malicioso suele aprovechar fallos de seguridad del lector PDF que muchas veces el propio fabricante tarda mucho en corregir. En este caso hay que aplicar la regla de no abrir archivos que no confiemos en su procedencia.

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.