Artículo: ¿Cómo realizar informática forense en archivos PDF maliciosos? Revisa si este PDF contiene malware o backdoors.

Me ha parecido una publicación mi interesante debido a la gran cantidad de archivos PDF que manejamos hoy en día. El poder escudriñar en un momento dado si el archivo que tenemos puede tener algún invitado, es de vital importancia.

Noticia publicada en: https://noticiasseguridad.com/tutoriales/como-realizar-informatica-forense-en-archivos-pdf-maliciosos-revisa-si-este-pdf-contiene-malware-o-backdoors/

El formato PDF se ha convertido en una de las formas más populares para visualizar archivos, ya que este formato es compatible con toda clase de dispositivos tecnológicos, incluyendo computadoras de escritorio, laptops, tabletas electrónicas y smartphones. Debido a esta presencia universal, los actores de amenazas comenzaron a usar estos documentos para entregar malware y desplegar otras variantes de ataque.

En esta ocasión, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo aplicar informática forense para analizar documentos PDF y determinar si están comprometidos con alguna variante de contenido malicioso.

Antes de continuar, cabe recordar que la cadena de ataque vía PDF suele comenzar enviado documentos maliciosos vía email. Cuando estos documentos se abren en el sistema afectado, en la mayoría de los casos se ejecuta código JavaScript en segundo plano capaz de explotar vulnerabilidades en herramientas como Adobe PDF Reader o almacenar archivos ejecutables para etapas de ataque posteriores.

Los documentos PDF, ya sean legítimos o maliciosos, tienen 4 elementos principales, mencionan los expertos en informática forense:

  • Encabezado: Contiene información sobre la versión del documento y otros datos generales
  • Cuerpo: Se refiere a los objetos del documento. Este elemento está formado por flujos que se utilizan para almacenar datos
  • Tabla de referencias cruzadas: que apunta a cada objeto
  • Tráiler: Elemento que apunta a la tabla de referencias cruzadas

Ahora que sabemos la información esencial sobre un ataque vía documentos PDF, podremos revisar cada forma de analizar estos elementos.

Escaneo de PDF usando PDFiD

PDFiD es un componente de Didier Stevens Suite capaz de escanear documentos PDF usando una lista de cadenas para detectar elementos JavaScript, archivos incrustados, acciones al abrir archivos y conteo de líneas específicas en un documento.

En este ejemplo, podemos ver que PDFiD detectó varios objetos, flujos, código JavaScript y elementos OpenAction en el archivo Report.pdf. Según los expertos en informática forense, la presencia de estos elementos sugiere que el archivo analizado contiene JavaScript o scripts Flash. El elemento /Embedded indica la presencia de otros formatos dentro de los PDF, mientras que los elementos /OpenActionAA y /Acroform inician acciones automáticas al abrir el archivo.

Visualizar el contenido de los objetos PDF

Ya sabemos que hay código JavaScript dentro del archivo PDF analizado. Este será el punto de partida de la investigación; para encontrar un objeto JavaScript indirecto, ejecute la herramienta pdf-parser.py.

Según el resultado de estos escaneos, el código JavaScript oculto ejecutará el malware cada vez que se abra el archivo, por lo que el siguiente paso es extraer la carga maliciosa.

Extracción de archivos incrustados usando Peepdf

Esta es una herramienta de Python que contiene todos los componentes necesarios para la validación y el análisis de archivos PDF, mencionan los expertos en informática forense. Para aprovechar al máximo sus capacidades, ingrese el comando peepdf  – i file_name.pdf. La función -i habilitará el modo interactivo del script:

Para encontrar más funciones, ingrese el comando –help:

El resultado del análisis indica que hay un archivo incrustado en el objeto 14. Una inspección más cercana de este objeto permite ver que apunta al objeto 15; a su vez, el objeto 15 apunta al objeto 16. Finalmente, pueden apreciarse indicios de la presencia de un archivo malicioso en el objeto 17.

Según el contenido del PDF, solo hay una secuencia en él, que también apunta al objeto 17. Por lo tanto, el objeto 17 es una secuencia con un archivo incrustado.

El flujo 17 contiene una firma de archivo que comienza con MZ y un valor hexadecimal que comienza con 4d 5a. Acorde a los expertos en informática forense, estos son signos que apuntan a un archivo ejecutable.

A continuación, guardaremos la secuencia como ejecutable virus.exe.         

Análisis de comportamiento

Ejecute el archivo en sup-tuals-tion usando un sistema Windows 7 de 32 bits.

Como puede ver en la ventana de Process Explorer, virus.exe creó dos procesos sospechosos (zedeogm.execmd.exe) que se interrumpieron después de iniciarse.

Según Process Monitor, el archivo zedeogm.exe se guardó dentro de los procesos en ejecución. Luego cambió las reglas establecidas en Windows Firewall. El siguiente paso fue ejecutar el archivo WinMail.exe; después de eso, el programa lanzó cmd.exe para ejecutar el archivo tmpd849fc4d.bat y detener el proceso.

Conclusión

El uso de técnicas de informática forense para el análisis de documentos PDF puede ser fundamental para evitar interactuar con contenido malicioso. En conjunto con otras medidas preventivas, esta práctica puede cerrar uno de los principales vectores de amenazas en la actualidad.

Otras medidas recomendadas para prevenir esta amenaza incluyen:

  • Verificar el remitente de un correo electrónico no deseado
  • Ignorar los enlaces o archivos adjuntos en correos electrónicos no solicitados
  • Mantener sus herramientas antivirus siempre actualizadas
  • Verificar los errores tipográficos, muy comunes en correos electrónicos maliciosos

Como de costumbre, le recordamos que este material fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción. IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades, informática forense y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.