Não faz muito tempo recebi uma notificação de uma pessoa por email dizendo que tinha achado meu livro (de Forefront TMG) para download em um site (não me disse qual era) e perguntando se era de fato livre para download. Respondi que não era um livro free, e quem colocou para download está indo de encontro as leis de Copyright. A conversa não se estendeu muito, aparentemente o rapaz ficou com medo que eu fizesse algo contra ele….mas o fato é que até gostei dele ter me trazido a tona tal caso e ter sido honesto de me perguntar se era legal ou não.
Porém, a parte que mais ficou estranha na conversa foi quando ele me disse que o PDF tinha mais de 500 MB de tamanho. O que seria impossível ser o livro original que não chega nem a 30MB…ou seja, tinha alguma outra coisa neste PDF que quando ele abrisse iria disparar algo, possivelmente infectar o sistema da pessoa.
Análise de PDF é um passo muito importante para entender como as vulnerabilidades estão sendo exploradas por criminosos cibernéticos. Os dois cenários abaixo vão lhe mostrar como fazer isso na plataforma Windows e na plataforma Linux.
Cenário 1 – Análise de PDF na Plataforma Windows
- Ferramenta utilizada: http://jsunpack.jeek.org
Ao executar esta ferramenta em um PDF, você vai verificar que imediatamente ele mostra se achou algo ou não:
Figura 1 – Um arquivo que não foi comprometido
Figura 2 – Um arquivo comprometido
No Arquivo comprometido é fácil identificar que o CVE da vulnerabilidade é mencionado na saída do comando. Nesse caso trata-se de uma vulnerabilidade no Adobe Acrobat/Reader 8.1.2 que permite execução de código arbitrário devido uma falha de buffer overflow no produto. Mais informações sobre a vulnerabilidade em http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992
Cenário 2 – Análise de PDF na Plataforma Linux
- Ferramenta utilizada: http://blog.didierstevens.com/programs/pdf-tools (script pdf-parser.py)
- Arquivo de exemplo: http://www.fireeye.com/resources/pdfs/FireEye_Advanced_Threat_Report_1H2011.pdf
Após ter sido feito o parser do PDF, o output mostra a seguinte saída:
Figura 3 – Parse do PDF
Com essa saída você consegue visualizar o que está embutido no arquivo. Por exemplo: se tiver algum código Java embutido você imediatamente vai visualizar. Você poder utilizar o pdf-parser para fazer um dump do metadata do arquivo para um TXT, neste caso é possível ver mais detalhes. Para este arquivo de exemplo temos:
Figure 4 – Dump do PDF
Conclusão
Este foi um pequeno exemplo de como utilizar algumas ferramentas livres para extrair informação de PDF e verificar se o mesmo está comprometido com malware. Muito cuidado ao fazer download de arquivo PDF, muitas vezes somos levados a crer que por ser “read only” o arquivo é seguro, porém não é verdade. Fique atento e mantenha-se seguro.
Até a próxima
Yuri Diogenes 
Excelente dica!
Muito boa Yuri.
Yuri, muito bom esse seu post. Nós de TI temos ferramentas e conhecimento de como fazer análise de possíveis ameaças. Mas para os usuários comuns, acredito que o alerta é manter os softwares sempre atualizados, o firewall ligado, um bom antivírus atualizado e fazer varreduras periódicas.
Obrigado pelo feedback de todos! Abraços