Malicious PDF 문서 확인 방법 / 악성 PDF 확인 및 악성 객체 제거 방법

Malicious PDF 문서 확인 방법

일반적으로 업무에 사용되는 RFQ, PO 등 업무용 문서들의 경우, 대부분 PDF로 변환하여 고객사에 송부하고 거의 모든 회사 업무에 PDF Format이 밀접하게 연관되어 있습니다.

PDF로 된 문서의 경우 별다른 거부감이 없이 문서를 확인하곤 합니다. 하지만 악의적으로 PDF의 문서 구조를 악용하여 내부에 VBA 기능을 넣은 doc 파일을 몰래 숨기거나, cmd.exe, powershell.exe 명령어를 실행시킬 수 있도록 문서를 만들기도 합니다.

그런 이유인지 침해사고의 경우 1위가 바로 악성 PDF가 사용된 침해사고 입니다.

PDFID 활용 PDF 점검 및 악성 객체 제거 영상

This video was made with Movavi Video Suite 17 (https://www.movavi.com) 
이 영상은 Movavi Video Suite 17로 만들어졌습니다.

VirusTotal 활용 방법

바이러스토탈 홈페이지(https://www.virustotal.com)에 접속하여, 수상한 PDF 문서를 upload 하여 점검하는 방법이 있습니다.

인터넷에서 자료를 찾다가 다운받은 자료의 경우 바이러스토탈에 업로드하여 점검을 하는 것이 좋지만, 업무 관련 자료의 경우 바이러스 토탈 홈페이지에 업로드하게 된다면 그 정보가 3자에게 노출될 수 있기 때문에 바이러스 토탈 API를 활용하기 곤란해지게 됩니다.

인터넷에서 다운받은 자료를 업로드하고 상세정보를 확인하면, PDF Info 항목에 open action, AcroForm, JavaScript, Auto Launch와 같이 악용 위험이 있는 항목에 노란색 삼각형과 느낌표 아이콘이 나타나게 됩니다.

이러한 자료는 윈도우 디펜더나 안티 바이러스 프로그램에서도 잘 확인이 안됩니다.
따라서 윈도우10의 샌드박스에서 확인하거나, 불필요한 경우 그냥 삭제하는 것이 좋습니다.

PDF 악성 객체





PDFID 활용 PDF 점검

KALI Linux에 기본으로 설치되어 있는 pdfid라는 프로그램을 활용하여 PDF 문서를 점검해보겠습니다. PDFID 명령어 뒤에 -h 옵션으로 사용법을 확인할 수 있습니다.

옵션 없이 pdfid 파일명을 입력해도 PDF 내부에 포함된 객체 정보를 확인할 수 있습니다.

PDF 악성코드 제거

악성코드를 무력화 시키는 옵션은 -d, 입니다.

파일명 뒤에. disarmed라는 이름으로 악성코드가 무력화된 PDF가 생성됩니다.

OpenAction에 1개가 확인됩니다.
PDF 문서를 열 때 뭔가 Action이 이뤄지는 것입니다.

일반적으로 저런 기능은 불필요하겠지요.

pdfid -d 옵션으로 OpenAction이 제거되었습니다.

인터넷에서 다운받은 다른 문서를 점검해 보았습니다.

이번에는 JS, JavaScript가 확인됩니다.

가정집의 경우 비교적으로 최신 윈도 운영체제 및 프로그램을 사용하지만, 회사의 경우 회사에서 구입해 주는 운영체제, 소프트웨어 버전이 최신 버전이 아닌 경우가 많습니다.

따라서 가정보다 회사에서 사용하는 컴퓨터가 더 위험할 수 있습니다.

PDFID 명령어 뒤에 일반적으로 PDF 파일명을 입력하지만, 압축파일명, *.PDF를 넣어서 여러 문서를 한 번에 점검하기도 가능합니다. 또한 제공하는 여러 가지 옵션을 넣어서 사용해보세요. 

Windows10 사용자의 경우 WSL 기능을 이용하여, MICROSOFT STORE에서 KALI LINUX를 쉽게 설치할 수 있습니다. 자세한 설치방법은 하단 이전글을 참고하세요.

2020/10/21 - [Computer] - KALI LINUX(GUI) ON WSL2 완벽 설치 (총정리)