Malware: Scanning com Adobe Malware Classifier/Clamav por possível Malwares em PDF

Sei que tem muitos pesquisadores em segurança ao longo do mundo falando sobre Análise de Malware em PDF, mas nessa parte ainda estou começando e por sinal é muito legal.

Um deles que conheço é o Rodrigo Sp00ker, qual ainda não tive oportunidade de assistir alguma palestra dele, neste assunto e sei que está pesquisando sobre isso com mais profundidade.

Reparei que há um projeto chamado Adobe_Malware_Classifier, senão me engano no sf.net em: http://sourceforge.net/projects/malclassifier.adobe/files/

Não sei ainda se é de algum pesquisador da Adobe, mas achei interessante.  O uso conforme o próprio help é:

usage:

AdobeMalwareClassifier.py [-h] [-f filename] [-n model] [-v [verbose]]

Classify an unknown binary as MALWARE or CLEAN. optional arguments:

-h, –help show this help message and exit

-f filename The name of the input file

-n model The ordinal for model classifier: 0=all (default) | 1=J48 | 2=J48Graft | 3=PART | 4=Ridor

-v [verbose] Dump the PE data being processed

Você poderia usar como modo Verbose e um arquivo por vez, por exemplo:

$ python AdobeMalwareClassifier.py -v -f apostila.pdf

Detalhe: é necessário 2 dependências do python, para este scanner, como:

– Python pefile
– Python argparse

O problema está quando você tem um diretório com milhares destes arquivos. Então pode-se criar um script shell ou algo em python (que não fiz ainda) e automatizar o scan.

Detalhe: Essa tool só faz um scan, não retira o malware ou shellcode que estiver embutido.

Me lembrei que no clamav há uma opção para arquivos suspeitos, como por exemplo:

$ sudo clamscan –detect-pua /home/pdfs/

OBS: O que vou tentar fazer é um script que separe os arquivos infectados dos não-infectados e use o clamav para fazer o scanning no diretorio de pdfs infectados.

Fica para outro post.

@firebitsbr

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s