Fichiers autogénérés correspondant à la définition du virus
Symptom
Fichiers autogénérés correspondant à la définition du virus.
L’utilisation d’applications qui génèrent des fichiers documentaires à partir d’informations provenant d’un portail ou d’une interface Web est largement répandue et croissante.
Ces fichiers ont tendance à être très sensibles aux déclencheurs faux positifs et plus souvent aux collisions de signature. C’est parce que l’application nettoie rarement les paramètres inutilisés à partir du portail, et vide toutes les données supplémentaires dans le document. Il n’est pas visible lorsqu’il est ouvert ou consulté par un lecteur de document. Mais lorsque le fichier est ouvert dans un éditeur de texte de base, les données supplémentaires sont clairement visibles.
Environment
Cela se produit dans n’importe quel environnement en utilisant des applications pour créer des documents à partir d’informations saisies, par exemple via un portail ou une interface Web.
Cause
% PDF-1 .4 Sharp Scanned ImagePDF
%Sharp Non-Encryption
3 0 obj
/Type /Page
/Parent 1 0 R
/Resources 4 0 R
/Content 5 0 R
/MediaBox [0 0 613.440 792.000]
>>
endobj
4 0 obj
/ProcSet [/ PDF /ImageB]
/XObject < /Img1 6 0 R >> >>
endobj
5 0 obj
/Filter /FlateDecode
/Length 36
>> stream
xœ334Ö311P AsK#=###;9—Kß37ÝPÁ%# x×#k
endstream endobj
6 0 obj
/Type /XObject
/Subtype /Image
/Name /Img1
/Filter /CCITTFaxDecode
/DecodeParms < / K -1 /Columns 1704 /Rows 2200 >>
/Width 1704
/Height 2200
/BitsPerComponent 1
/ColorSpace /DeviceGray
/Length 7 0 R
>> stream
þX#ÿ'×úßÿÿÿÿïþ?ÿÿÿÿÿÿÿÿÿÿÿÿòØ:ãÿü¶ D # ÌÔ ̧Aù#Ìf¶ O #flƒGg]##3/4#a <&|h—#ù=Iq#sãô#×EÃFv##í#Úi„#t’,wÒ#ê¡:#6°ƒi# FÆ « l£cŸŠú#?óÎ ¢ùÌ&™"—ðD}.žºnž1/4 R ... ú #ˆ†... Ûû¥ïÛÿûÿç·s97ÉŽ±Òß× Ç ##ëHºOTÂpÓZøïú× Ü �æ#ýGÿñ ké#'ZÌᥥüðúþ'#ö? #HÙ0ÂT#,%ï#'#Ð_¿ � A 'c# Õ # Ì 'x"ž�Ÿý&ÈëÊ/ I #'# Ê }¡##\ ËP ¯_øg€� X ¯^' A $5MW2@b××ÿ£ßúM¤' H $ Ž %• É .#Šv?úõ6Øa-mpE <#OJñ¬úáC#ýÿâØ# ÅG #"Õ1\|( á•š×מh5á òjï...########## D #¢4 < ÄDJ ¿¢# « r›@ezèン.......
Comme on peut le voir ce type de document définit le format, puis se déplace vers le flux, qui contient le texte du document dans un format crypté.
Dans un document généré, c’est très différent.
% PDF-1 (0,6)
103 0 obj
hÞ" »;k#1#... ÿÊ)""ŒîCÒ# Œ « @ À ‰Yv *¤XÌà&xͲ øßçìÜu"&× Õ #¤£ O ' #- #- # ' Ž T ÊPX ›¡##N91/4*'  ‡ţÓÕXé ̈ •# K .*èÅa’î $ôyÀ3? Í1÷
« #2# Ñ ̧ Y ‡ » ÂÑ ™é##aö#Wˆr#7fã±#b¥ñ\ L #ànbCáä9· JœÇã » T ^ª' W ›£'×JÇÍÍt·^¹'?íŽçåùòp^#Èøgä~ùs¹[^! Óþôkùv|# Ï ¾ V #^_–ép9ÿ~ÜzûÓér{» R p7# Ö ' Ü " <¢ F ´ˆ#1Gl{¯ O ¸ EP ,(### Š # Å 'bAP <(### Š #ŃâP <(#”#”ºQ~ N ; ÈÖš#Óay1/4 Þ #eúz|~úðùþÓ÷ÃGvÞ^õ ~-ï®MI75Ý’tÓÓÍšn¶t³§›sº9ò/ÿ#Iy K'×$yO'#%ÿ7õEÞºyW'—%y['×¥y]úŽŸ* 'Kóº4'Kó?–æmiÞ-æmiÞ-¥lý#' ¡ HD
endstream (endstream)
hÞ$ Ì ±
endstream (endstream)
hÞ <‹ Ë
Â0# E å.+# I ¡‹# J @#WBEú#±Œt #™þ½AÁÝáÞsFXL#& Ì ³9çš#½¹°#m« ÅÝ \ý#×÷‹ÌR5p¢â\#Nèí÷ºy¡– Ž ?�5P·î\# H •#�4cËéÉ#¡»Wä*ˆ##$ǃs### s(Ë
endstream (endstream)
hÞtPMkÃ0ý+>n—( ÎWW (†-[ K #c¡ö¡#rpSQ:Ö8Ø#dÿ~r#Øi##? IOOO #‹Yž²"#l·ţç3/47Þ±"£ì# JÓ {ì çÅÔÄQÌÂ+xBq³¥ Ø #^núßj- M
JaÐ# #m‡ Ž $K óm¬#t‡#HâÅ‹ ä,ß®ß"åOá+#1/4Mþ 1//2ö¡ý#ÚÓμ°m)§#å'™§#§-ÖrmM’Ñ7P¿îAá䡺ë+-œ>Ï_Ø#nu§cl## QŽ &è°#¤·cç## Ž #Òg## ÔÏ €äìŠBÌFFrÈ¡ R 'õ E <*#áývqÍ|Ìö¯ Û ñ+ À [fh #
endstream (endstream)
hÞ1/4-ko#9#†ÿÊù#¤ìø~™* B « \6Ñ# E @š•ª~ ~ ' CÐ †#vp² É ¿ßã1I€ţ"§'80FQ
'\à"#&©#£€)) |# Á #d }—ţ¤osPáé£1ç°PRţAÆzæ6'5,¥[çÙ*¶ Ê ~'/'# Õ E ##‡‡± À ̈ FT #t@ëe¤6#Ãñõš‰? » Û ' KÀ 'Ì3 ̧ÂbA] G >[ú§ Š ̧#_v#Ïiã=Ne#p#[ ·æ# N ²4êãp#Ÿy· w|û)áæÇܦ± D #öE <KžÝˆºÖmÅ}^ÞëÛMú¾ ¿¡ÅBæ
$§ I ̧1/4
<## Þ ^¥àA× Ý , VËYY '¶f#7' #R
endstream (endstream)
hÞÔU]o›0#ý+þ##þi¤ I �ö@#¶"%##é´?ß‹m##Yš—i##ƒï½'Çöõ '"0FbN˜ L ##çŒ0Ex* ÓDè"hF$7ƒÉÒT'ÛÛh–5ùCU¶Ñc¾}ËÛb� E #Ëuµ) ÊŸÑ ×¢üP6... ÿ~>¬Úßû <Zš#Ãg#¥ww! Ï }u ̈‹1/4ö,"q#m#=e#ƒ—Ñx97³j#g{ÌgÕ; Ù ¦ˆ¶o—#-‹] ÞÜ ,ª] VŽS -‹ Å ... š^²ý�¹)_emÓÕ¾dóÕ;d <å¿ PÈ —gÜ£ÏËé"{(ꦽÍjB'mž7ëºØ· UM #�â?e6�+Õk¨#ùÒ‰ ÁBà ¼i_›oqœ� ®(# B #¥# Q ""#5�ÄLr" AL €' L }# Œ #wEƒç‰i#3Ÿ
j.#'ZÇ8ºw×è
÷dèGÒì'‡÷#º"�ú#ä�÷# X = Ú #c'väîˉ#¥ É #n#(ˆ5,]û6psçÜH*qìFìÔ�dpDCÀBÝ S #Ïi1U� Û ¯§ù�) Œ ## ~ûb3š'3£i#3ú# À å#yÅ
endstream (endstream)
xœ+ T # TÐ #©PpòuVp#b #¬ ##
endstream (endstream)
<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.6-c017 91.164464, 2020/06/15-10:20:05 ">
<rdf:RDFxmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
<rdf:Description rdf:about=""
xmlns:xmp="http://ns.adobe.com/xap/1.0/ »
xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/ »
xmlns:dc="http://purl.org/dc/elements/1.1/ »
xmlns:pdf="http://ns.adobe.com/pdf/1.3/ »
xmlns:pdfx="http://ns.adobe.com/pdfx/1.3/ »
xmlns:adhocwf="http://ns.adobe.com/AcrobatAdhocWorkflow/1.0/">
<xmp:ModifyDate>2020-09-28T12:23:32-05:00</xmp:ModifyDate>
<xmp:CreateDate>2017-05-05-05 04T16:52:12-05:00</xmp:CreateDate>
<xmp:MetadataDate>2020-09-28T12:23:32-05:00</xmp:MetadataDate>
<xmp:CreatorTool>Acrobat PDFMaker 11 pour Word</xmp:CreatorTool>
<xmpMM:DocumentID>uuid:16dfb-b3fb-4186-a8db-c6647d7</xmpMM:DocumentID>
<xmpMM:InstanceID>uuid:c658806f-41ac-b6f9-58064eb927</xmpMM:InstanceID>
<xmpMM:subject>
<rdf:Seq>
<rdf:li>7</rdf:li>
</rdf:Seq>
</xmpMM:subject>
<dc:format>application/pdf</dc:format>
<dc:title>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:title>
<dc:description>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:description>
<dc:creator>
<rdf:Seq>
<rdf:li></rdf:li>
</rdf:Seq>
</dc:creator>
<pdf:Producer>Adobe PDF Library 11.0; modifié à l’aide d’iTextSharp 4.1.6 par 1T3XT</pdf:Producer>
<pdf:Keywords/>
<pdfx:SourceModified> D :20170504215149</pdfx:SourceModified>
<pdfx:Company></pdfx:Company>
<adhocwf:state>1
<adhocwf:version>1.1
RDF
></adhocwf:version> </adhocwf:state></x:xmpmeta>
<?xpacket end="w"?>
endstream (endstream)Comme on peut le voir dans cet exemple, il ya beaucoup plus d’éléments en cours d’ensemble et beaucoup plus d’éléments inutilisés de nombreux restes de champs non remplis. Il y a aussi des références à plusieurs URL. URL références sont communes à de nombreux fichiers malveillants aussi et est l’un des éléments les plus communs à la fois les documents générés et les documents malveillants.
RTF
Il s’agit d’un exemple RTF d’une application collectant des données à partir d’un portail.{\rtf1\adeflang1025\ansi\ansicpg1252\uc1\adeff0\deff0\stshfdbch0\stshfloch0\stshfhich0\stshfbi0\deflang1033\deflangfe1033\themelang1033\themelangfe0\themelangcs0{\fonttbl{\f0\fbidi \froman\fcharset0\fprq2{\\*\panose 02020603050405020304}Times New Roman{\\\falt Times New Roman};}
{\f1\fbidi \fswiss\fcharset0\fprq2{\\*\panose 020b0604020202020204}Arial{\\\falt Arial};} {\f2\fbidi \fmodern\fcharset0\fprq1{\\*\panose 02070309020205020404}Courier New{\\*\falt Courier New};}
{\f3\fbidi \froman\fcharset2\fprq2{\\*\panose 05050102010706020507}Symbol{\*\falt Symbol};} {\f10\fbidi \fnil\fcharset2\fprq2{\\*\panose 0500000000000000000000000000}Wingdings;} {\f34\fbidi \froman\fcharset0\fprq2{\\*\panose 02040503050406030204}Cambria Math;}
{\f37\fbidi \fswiss\fcharset0\fprq2{\\*\panose 020f0502020204030204}Calibri;} {\flomajor\f31500\fbidi \froman\fcharset0\fprq2{\\*\panose 02020603050405020304}Times New Roman{\*\falt Times New Roman};}
{\fdbmajor\f31501\fbidi \froman\fcharset0\fprq2{\\*\panose 02020603050405020304}Times New Roman{\\\falt Times New Roman};} {\fhimajor\f31502\fbidi \froman\fcharset0\fprq2{\\*\panose 02040503050406030204}Cambria;}
{\revtim\yr2020\mo3\dy23\hr14\min10}{\printim\yr2003\mo11\dy4\hr13\min29}{\version3}{\edmins3}{{\nofpages3}{\nofwords541}{\nofchars3089}{\\\'company Alte Co.} {\nofcharsws3623} {\vern87}} {\*\xmlnstbl {\xmlns1 http://schemas.microsoft.com/office/
mot/2003/wordml}}\paperw12240\paperh15840\margl576\margr576\margt864\margb576\gutter0\ltrsectDans cet exemple, il existe de nombreux ensembles d’ombles différents, et les paramètres de configuration sont répétés. Aussi le trafic url, tout en allant à un site propre connu, n’est pas quelque chose normalement vu dans un simple RTF .
Resolution
Conclusion
Toutes ces données supplémentaires et anormales contribuent à un taux élevé de collision faux positif et de signature.
AtténuationLa meilleure atténuation est de faire signer ces fichiers par l’application avec un certificat numérique, et de blanchir le certificat. Il peut être long d’amener le développeur à le faire, mais c’est l’atténuation la plus sûre.
De nombreuses applications qui créent des documents tireront et placeront les fichiers sur plusieurs serveurs ou clients multiples, rendant difficile la liste blanche de l’un ou l’autre. Le trafic de ces fichiers générés peut parfois être mis sur liste blanche par application. La liste blanche de l’application est le mode le plus sûr suivant, et peut être accompli avec une règle simple.
Si l’application de création de document n’est pas vue dans les journaux, et que les documents sont générés à partir d’une source interne et/ou envoyés à une destination interne, la liste blanche du single commun IP est la meilleure solution suivante. Cela peut être accompli avec un autre type de règle.
Gardez à l’esprit avec l’une ou l’autre AV de ces règles les profils sont laissés de Wildfire côté. Vous devez désactiver l’inspection de ces fichiers pour AV et Wildfire .