🇰🇷
Korean
  • 🖌️PLURA 사용법
  • 🌱시작하기
  • 🚀빠른시작
  • ✍️회원가입
  • 🆔로그인
  • 에이전트 설치
    • 호스트보안(EDR)
      • Windows
        • Sysmon
      • Linux
        • Sysmon
    • 웹방화벽(WAF)
    • 통합보안이벤트관리(SIEM)
      • PLC
      • PLC 사용자정의
        • Apache httpd error
        • MySQL
        • MySQL error
        • Openvpn
        • PostgreSQL
        • Redis
        • Xrdp
        • MySQL error log(PLC)
        • Application log(PLC)
      • PLC 레거시 연동
      • onprem
    • 로그 포렌식(Log Forensic)
      • Windows
  • 에이전트 삭제
    • 호스트보안(EDR)
      • Windows
        • Sysmon
      • Linux
    • 통합보안이벤트관리(SIEM)
      • PLC
  • 기능
    • 공통
      • 📊대시보드
      • 보안탐지
        • 마이터어택
          • 매트릭스
          • 리스트
          • 해킹그룹
          • 소프트웨어
        • 상관분석
        • 데이터 유출
        • 계정탈취
        • 홈페이지 위변조
      • 필터탐지
        • 호스트
        • 웹
        • 응용프로그램 > 원본
        • 응용프로그램 > 사용자정의
        • 네트워크
      • ML탐지
      • 전체로그
        • 호스트
        • 웹
        • 응용프로그램 > 원본
        • 응용프로그램 > 사용자정의
        • 네트워크
      • 필터
        • Syslog
        • Audit
        • Windows
      • 필터: 보안
        • 상관분석
        • 데이터유출
        • 계정탈취
        • 홈페이지 위변조
      • 필터: 추천
      • 필터: 등록
        • 호스트
        • 호스트보안
        • 웹
        • 웹방화벽
        • 응용프로그램 > 원본
        • 응용프로그램 > 사용자정의
        • 네트워크
      • 시스템
        • 시스템 관리
        • 그룹 관리
        • 웹로그 사용 설정 방법
      • 리소스모니터링
        • 호스트
        • 호스트 전체
        • 알림필터
      • 추출로그
        • IP주소
        • Login
        • URL
      • 보고서
        • 📉메인
        • 호스트보안 분석
        • 마이터어택 분석
        • 상관분석
        • 데이터유출 분석
        • 계정탈취 분석
        • 호스트 분석
        • 응용프로그램 분석
        • 웹 분석
        • 네트워크 분석
      • 통계
        • IP주소
        • Login
        • 업로드용량
        • 워드클라우드
        • 히트맵
        • 박스플롯
      • 검색기능
      • 관리
        • 서비스
        • 멤버
        • 보안
        • 목록
        • 연동
        • 사용
        • 시스템
        • 그룹알림
        • 사용로그
        • 복원서비스
      • 개인화
        • 개인알림
        • 나의 정보
        • 테마 설정
      • 🛠️TOOLS
      • 컴플라이언스
      • API 제공(On-premise 전용)
    • 호스트보안(EDR)
      • 📊대시보드
      • 필터탐지
      • 전체로그
      • 방어
        • 차단IP주소
        • 로그
        • 설정
        • 즉시차단
      • 🎮원격 제어
    • 🔬포렌식
    • 웹방화벽(WAF)
      • 📊대시보드
      • 필터탐지
      • 전체로그
      • 방어
        • 차단IP주소
        • 로그
        • 설정
        • 즉시차단
      • 관리
      • 필터 등록
      • 보고서
      • 구성도
    • 로그 포렌식
      • 대시보드
      • 시스템 관리
  • FAQ
    • 공통
      • 회원가입 인증메일
      • 멤버가입
      • 회원탈퇴
      • 사용자별 브라우저 저장 기능
      • 업로드 설정: 응용프로그램
      • 공개 IP주소 확인
      • 에이전트: 최소 및 권장 사양
      • 에이전트: 사용량
      • 에이전트: 지원 운영체제
      • 에이전트: 업데이트
      • 에이전트: 프로세스별 역할
      • 에이전트: 로깅 설정
      • 에이전트: IP주소 변경 방법
      • 에이전트: 서비스 중지 해결
      • 서비스: 개인정보 마스킹
      • 서비스: 탐지 예외
      • 서비스: 웹방화벽(WAF)
      • 서비스: 로그 및 API 연동
      • 이용 요금
      • 이용 정보
      • PoC 진행 방법 안내
      • VirusTotal 검색 연동
    • 호스트보안(EDR)
      • PDF 헤더 분석
      • 명령어
    • 통합보안이벤트관리(SIEM)
      • On-premise
        • curl 설치
        • wget 설치
        • PLURA Root CA 인증서 등록
      • ModPlura
        • Apache 수동 설치
        • Nginx 수동 설치
      • Syslog 전송
        • 웹 Access 로그
        • Tomcat Catalina.out 로그
      • Logging 지원
        • 감사정책 복원 방법
        • PowerShell 스크립트 블록 로깅 활성화
        • Tomcat Access 로깅 설정
        • Squid 로깅 설정
      • Proxy 설정
        • AWS RHEL 환경
      • IBM AIX 서버 설정
        • Audit 설정 안내
        • Audit을 이용한 해킹 탐지
      • 탐지 필터 제작
        • 데이터유출
        • 윈도우 레지스트리 & 파일 위변조
        • 공개키 로그인 성공
      • 알림 받기
        • Webhook 설정(Telegram)
        • Syslog 설정(Kiwi)
      • 모의해킹
        • 데모 공격 시나리오
        • 재전송 공격 사용 안내
      • ETC
        • 백신 소프트웨어 종료 탐지 방법
        • Apache 서버에서 HTTP 압축 비활성화
  • 퍼블릭 클라우드
    • AWS
      • Auto Scaling 설정
      • 타임존 설정
      • Route 53 DNS 할당
      • EC2 Auto Scaling 지원
      • PLURA-WAF 구축
    • Naver Cloud
      • PLURA-WAF 구축
  • 광고 ad
    • 🔴on air
  • 영상
    • 회사&제품 소개
      • 🏨큐비트시큐리티(주)
      • 📦제품
      • 🎥방송/발표
        • SBS Biz 참좋은하루
        • 스타장외주식
        • 도전! K-스타트업
        • SparkLabs Demoday
    • 해킹탐지 시연
      • WEB
        • 크리덴셜 스터핑
        • 데이터유출 by SQL 삽입 공격
        • 웹셸(WebShell)
        • 사이트 간 스크립팅(XSS)
        • Estatik 플러그인 취약점
        • XSL Script Processing [T1220]
      • System
        • Emotet
        • Log4Shell
        • Wannacry 랜섬웨어
        • APT29(MITRE ATT&CK)
    • 고객 사례
      • (주)아이네트호스팅
  • Contact
    • ☎️연락처
Powered by GitBook
On this page
  • 주요 요소
  • 주요 키워드 설명 및 분석
  • 요약
  • 참고 레퍼런스
  1. FAQ
  2. 호스트보안(EDR)

PDF 헤더 분석

PDF 파일 보안 분석 시 주요 검사 요소

정보 보안 포렌식 관점에서 PDF 파일을 분석할 때 주의해야 할 주요 요소는 다음과 같습니다. 이러한 요소들은 악성 PDF 파일을 식별하고 분석하는 데 중요한 단서를 제공합니다.

주요 요소

  1. JavaScript 관련 키워드:

    • /JS, /JavaScript, /AA, /OpenAction

    • PDF 파일 내의 JavaScript는 자동 실행될 수 있는 악성 스크립트를 포함할 가능성이 있습니다.

    • 악성 PDF는 주로 JavaScript를 사용하여 취약점을 공격합니다.

  2. 임베디드 파일:

    • /EmbeddedFile, /Launch

    • PDF에 임베디드된 파일은 실행 가능한 악성 파일일 수 있습니다.

    • /Launch 키워드는 PDF 파일이 특정 프로그램을 실행하도록 할 수 있습니다.

  3. 암호화:

    • /Encrypt

    • PDF가 암호화된 경우, 파일 내부의 내용을 분석하기 어렵게 만듭니다. 이는 정당한 이유가 있을 수 있지만, 악의적인 목적으로 숨기려는 의도일 수 있습니다.

  4. 폼 및 멀티미디어:

    • /AcroForm, /RichMedia, /JBIG2Decode, /XFA

    • 폼 및 멀티미디어 요소는 악성 코드 또는 악의적인 활동을 숨기기 위한 수단으로 사용될 수 있습니다. 특히 /XFA는 PDF의 동적 폼을 정의하는 데 사용되며, 복잡한 상호작용을 포함할 수 있습니다.

  5. 스트림 및 객체:

    • obj, endobj, stream, endstream

    • 스트림과 객체의 수가 비정상적으로 많은 경우, 이는 PDF 파일 내에 숨겨진 데이터 또는 코드가 많이 포함되었음을 나타낼 수 있습니다.

  6. 페이지 수:

    • /Page

    • 페이지 수는 PDF의 크기와 내용을 대략적으로 파악할 수 있게 해줍니다. 비정상적으로 많은 페이지는 주의가 필요합니다.

  7. 기타 구조적 요소:

    • xref, trailer, startxref

    • 이러한 요소들은 PDF 파일 구조의 무결성을 확인하는 데 중요합니다. 손상되거나 비정상적인 구조는 악성 PDF의 징후일 수 있습니다.

주요 키워드 설명 및 분석

/JS               : 0
/JavaScript       : 0
/AA               : 0
/OpenAction       : 0
  • JavaScript 관련 키워드: 이 키워드들이 발견되면, 스크립트 코드가 자동 실행될 가능성이 있으므로 주의가 필요합니다. 이 예에서는 모두 0이지만, 만약 값이 존재한다면 그 스크립트 내용을 분석해야 합니다.

/EmbeddedFile     : 0
/Launch           : 1
  • 임베디드 파일 및 실행: /Launch 키워드가 1로 되어 있는 것은 이 PDF가 특정 프로그램을 실행하려 한다는 것을 의미할 수 있습니다. 이는 잠재적으로 위험하므로 실행하려는 프로그램이 무엇인지 분석해야 합니다.

/Encrypt          : 0
  • 암호화: 이 키워드가 존재하면, PDF의 일부 또는 전체 내용이 암호화되었음을 나타냅니다. 분석이 어려울 수 있으며, 암호화를 해제해야 전체 내용을 확인할 수 있습니다.

/AcroForm         : 0
/RichMedia        : 0
/JBIG2Decode      : 0
/XFA              : 0
  • 폼 및 멀티미디어: 폼 및 멀티미디어 요소가 없지만, 만약 존재한다면 폼의 내용 및 멀티미디어 객체를 면밀히 분석해야 합니다.

obj            1536
endobj          767
stream          672
endstream       336
/Page            14
xref              2
trailer           1
startxref         1
  • 스트림 및 객체: 많은 수의 객체와 스트림은 숨겨진 데이터나 코드가 있을 가능성을 시사할 수 있습니다. 스트림과 객체의 수가 일치하지 않으면, 비정상적인 파일 구조를 나타낼 수 있습니다.

요약

포렌식 분석 시 다음과 같은 단계를 따를 수 있습니다:

  1. JavaScript 코드 분석: /JS, /JavaScript와 관련된 코드가 있는지 확인하고, 있다면 그 내용을 분석합니다.

  2. 임베디드 파일 및 실행 분석: /EmbeddedFile, /Launch 키워드를 확인하여 실행하려는 프로그램이 무엇인지 분석합니다.

  3. 암호화 확인: /Encrypt 키워드를 확인하여 파일의 암호화 여부를 확인하고, 필요한 경우 암호를 해제합니다.

  4. 폼 및 멀티미디어 분석: /AcroForm, /RichMedia, /JBIG2Decode, /XFA 키워드를 확인하여, 이들이 포함된 경우 내용을 분석합니다.

  5. 객체 및 스트림 분석: 객체와 스트림의 수가 비정상적으로 많은지 확인하고, 숨겨진 데이터나 코드를 탐지합니다.

  6. 구조적 무결성 확인: xref, trailer, startxref 키워드를 통해 PDF 파일 구조의 무결성을 확인합니다.

이를 통해 악성 PDF 파일을 식별하고, 필요 시 추가 분석을 통해 악성 행위를 탐지할 수 있습니다.

참고 레퍼런스

Previous호스트보안(EDR)Next명령어

Last updated 5 months ago

Github : Didier Stevens :

pdfid.py