PDF
Stream Dumperを使ってマルウェアファイルを解析
更新履歴
- 2023/11/24
はじめに
このドキュメントは.迷惑メールに添付されてきたPDFファイルが安全化否かを確認するために,PDF Stream Dumperというツールを用いて解析していた経過を記録した文書である.なお,作業中にセキュリティ設定を緩和する部分があり,PCの管理者権限を持ってないと再現できない.
PDF Stream Dumperの入手
- PDF Stream Dumperは古いツールで長期間アップデートされてなく,調査するとGithubなどにもデッドリンクが存在しているが,結局以下のサ イトでダウンロー ドできる模様.
- PDF Stream Dumper
- http://sandsprite.com/blogs/index.php?uid=7&pid=57
- サイトはこんな感じ.
- ダウンロードしたいファイルは次の通り.
- ダウンロードしたファイルが正しいかMD5で確認.
certutil -hashfile PDFStreamDumper_Setup.exe MD5
b63097cbc9a795a91ae98ff87d64a901
PDF Stream Dumperのインストール
- ダウンロードしたEXEを実行する.
- インストール完了.
解析対象のファイルがウイルス認定され
る場合除外する
- 今回利用したファイルはWindows
Defenderにてウイルスとして登録されているので,ファイルを保存した時点で次のように検知されてファイルが削除される.
- 検知されて少し経つと,削除されてウイルススキャンも稼働する.
- これだと解析できないので,一旦,Windows Defenderの除外を設定する.
[設定の管理]を選択.
- [除外の追加又は削除]を選択.
- 管理者権限の認証.
- 「除外の追加」ボタンを押下.
- 感染ファイルを保存するフォルダを指定.
PDF Stream
Dumperを使って怪しいファイルを分析する
- インストールしたらデスクトップにアイコンがあるので起動する.
- 次のような画面が表示される.
- Loadボタンを押す.
- Pdf Fileを選択.
- 読み込んだファイルが確認できる.
- 左ペインにあるObjectsを順番に選択していく.
- これによるとこのPDFファイルは2022年4月7日に作成された模様.
- 順番に参照していくと,URLがハードリンクされている部分が表示された.
- この部分のテキストを取り出してみる.
/Flags 0
/S /URI
/URI
(https://80ca3b9a-267d-49c1-952f-bcf0367293ea.pipedrive.email/c/84lp2onmqy/xkxpwdgl24/o8z486yqw7/0?redirectUrl=https%3A%2F%2Fdweb.link/ipfs/bafybeibk54uwmiaja756nulg7ostrakmdslm6a3bltnq2zxps5p4bqjsly/11.shtml#&)
>>
- pipedrive.emailというドメインにアクセスしてみる.
- pipedriveはCRMを提供する会社のようだけど,その中にダウンローダが仕込まれていた模様.
- リダイレクト先のURLを含むURLにアクセスしてみる.
- 既に停止されている模様.
- HTTP
410はGoneという意味で「存在しない」ということらしい.404との違いは「ありませんよ」と.htaccessに記載されている
というところか
な.