Decir que la mayoría de incidentes de seguridad con amplia repercusión han involucrado, casi siempre, el envío de documentos con 'regalos', es hablar de una realidad en los últimos años.
Desde el siempre comentado 'Caso RSA', que involucró un documento Excel, hasta los cientos de ataques que tuvieron como protagonistas ficheros PDF, demuestra que, poder analizar de una forma eficaz un documento sospechoso, es algo en lo que merece la pena profundizar.
En este blog tuvimos la suerte de contar con una contribución de Jose Miguel Esparza hablando de PeePDF, herramienta que permite analizar y extraer el jugo a un documento PDF orientada a hacer el análisis en local.
Hoy toca ver herramientas online al estilo virus total, que nos permitan subir un documento para que sea analizado, diseccionado y obtengamos un informe sobre su peligrosidad.
El primer servicio es 'Joe Sandbox Document Analyzer' permite analizar documentos Office y también documentos PDF. Luce tal que así:
Otra opción son las herramientas de 'Malware Tracker' que tiene una versión para documentos ofimáticos y otra para documentos PDF
Finalmente, otra muy buena opción es XecScan que además permite consultar los informes de ficheros que han ido enviando otros usuarios
En próximos artículos hablaré de como hacer este tipo de análisis en modo manual
4 comments :
Para el análisis de macros "maliciosos" en archivos .doc prefiero utilizar OLEdump, creo que ya lo han mencionado aca al script.
Útil información.
Excelente tema, gracias por el xscan esta bien interesante las muestras de lo que han subido da miedo ver el nivel de serveridad de algunos archivos que no tienen definicion registrada
Recomiendo filemask de 0xlabs, permite analizar varios archivos en un ZIP, además de la detección de malware, identifica el tipo de fichero, muestra información de metadatos y cadenas de texto sospechosas. Está bastante completo y como alternativa a las anteriores lo recomiendo.
Publicar un comentario