1. 서론
최근 PDF 관련 취약점이 많이 나오며 PDF 파일에 악의적인 스크립트가 삽입되는 사례가 많이 발견되고 있습니다. PDF 파일에 악의적인 스크립트가 삽입되었는지 여부를 확인하기 위해 이 문서를 작성합니다.


2. 사용되는 툴
PDFTK : http://www.accesspdf.com/pdftk/
PDFiD  : http://blog.didierstevens.com/programs/pdf-tools

이번 문서에서는 위의 툴들을 사용할 것입니다. 위의 툴들 중 pdf-parser와 PDFiD는 Python으로 작성된 툴이므로 Python이 설치되어 있어야 합니다. 먼저 Python을 설치하도록 하겠습니다.

Python 다운로드 : http://python.org/download/


3. 분석을 시작해보자!
자신의 플랫폼에 맞는 Python을 다운로드 하여 설치를 하셨다면 이제 분석을 하도록 하겠습니다. 먼저 악성 PDF 파일을 한번 살펴보도록 하겠습니다.

먼저 PDF 파일 내용을 PDFiD 툴을 이용하여 확인해 보도록 하겠습니다. 명령어는 아래와 같습니다.

pdfid.py 파일명


PDFiD를 통해 PDF 문서를 확인해본 결과 해당 문서내에 Javascript가 3개 포함되어 있다는 결과를 확인할 수 있었습니다. 이제 PDFTK를 이용하여 해당 코드를 문서내에서 찾아보도록 하겠습니다. 명령어는 아래와 같습니다.

pdftk.exe PDF파일명 output 출력파일명 uncompress

출력된 파일을 확인해보면 아래와 같은 결과를 확인할 수 있습니다. 내용을 잘 살펴보면 Javascript가 삽입된 것을 확인할 수 있습니다. 정상적인 문서라면 Javascript가 삽입될 이유가 없으므로 대부분 악의적인 코드가 삽입된 문서라고 봐도 무방합니다.


만약 여러분이 인터넷 상에서 다운로드 받은 PDF파일이 안전한지 확인하려면 위와 같은 방법을 통해 간단하게 확인하실 수 있을 것입니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원