ESET Nod32 Antivirus | Antispyware | Console d administration
Chercher :
Newsletter :  

Sponsors :

Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs




Stoppez les fuites de donnees ! DeviceLock

Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- USBsploit
- Commentaires


Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS/XML :
- Articles
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter


RSS SecuObs :
- sécurité
- exploit
- windows
- microsoft
- attaque
- réseau


RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network


RSS Videos :
- security
- metasploit
- biomet
- biometric
- windows
- botnet


RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco


RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS OPML :
- Français
- International









Abonnez vous � Nessus Professional Feed !


Revue de presse francophone :
- Hugh Njemanze et Jean-Charles Barbou, HP France Enterprise View vers l'interopérabilité des produits de sécurité
- OSX.Flashback How to Turn Your Botnet into
- Thieves in the Temple Android.Opfake Makes Another Run
- CERTA-2012-AVI-275 Vulnérabilité dans Opera 14 mai 2012
- CERTA-2012-AVI-276 Vulnérabilité dans IBM Rational ClearQuest 14 mai 2012
- CERTA-2012-AVI-277 Vulnérabilité dans OpenSSL 15 mai 2012
- CERTA-2012-AVI-278 Vulnérabilités dans Sympa 16 mai 2012
- CERTA-2012-AVI-279 Multiples vulnérabilités dans Google Chrome 16 mai 2012
- CERTA-2012-AVI-280 Vulnérabilités dans SPIP 16 mai 2012
- CERTA-2012-AVI-281 Vulnérabilité dans Socat 16 mai 2012
- GHANA Cybercriminalité L heure par excellence des fraudeurs repérée
- Pourquoi Facebook et Google pourraient disparaitre en 2017
- Qui pour remplacer les chefs de la DCRI et de la DGSE
- Les liens entre Google et la NSA peuvent rester secrets
- Comment les parents peuvent-ils aider leurs enfants à naviguer sur Internet en toute sérénité

Dernier articles de SecuObs :
- EMET 3.0 met l'accent sur la configuration, les notifications et le déploiement au sein des réseaux d'entreprise
- Nouveau firmware 2.0.0 disponible pour le point d'accès malicieux WiFi Pineapple MarK IV
- Après la version Mac de DNSCrypt en décembre dernier, la version Windows enfin disponible
- ZERO DAY un documentaire sur les côtés obscurs de l'Internet
- Shellcoding de fichiers PE via un script Piew, une seule détection avec VirusTotal
- Vmware ESX et ESXI, élévation de privilèges, Déni de service et exécution de code arbitraire
- Samba 3.4.x à 3.6.4, accès propriétaires à des données éventuellement sensibles
- Pas de correctif prévu de la 8i à la 11g R2 contre Oracle TNS Poison
- Une belle faille dans le système de paiements sans contact
- Les dérives illicites de l’intelligence économique

Revue de presse internationale :
- Facebook Takes Aim at Cross-Browser LilyJade Worm
- Android security Protection of Java and native apps
- Undetectable Rootkit - Csaba Barta on Hacker Halted
- No Web Security Advanced Cross Site Scripting Techniques
- Reverse engineering techniques to find security bugs
- PHP Tutorials Security - Session Hijacking
- PHP Tutorials Security - SQL Injection
- PHP Tutorials Security - Cookies
- Building Custom Disassemblers
- Intro to Olly and Olly Settings
- Intro to Ida disassembler
- From the mail bag free APO FPO shipping
- The real business of the DIY movement
- UK Police Roll Out On-the-Spot Mobile Data Extraction System
- INTERVIEW Robert Clarke on legal aspects of cyber espionage
Abonnez vous � Nessus Professional Feed !

Annuaire des videos
- Pen testing practice in a box How to assemble a virtual network
- How to Exploit the Blind SQL Injection Vulnerability in DVWA
- Biometric registration
- Oblivion Lockpicking
- APRS reception with Funcube Dongle and Gqrx
- Broadcast FM reception with Funcube Dongle and Gqrx
- Draw Something Cheat wmv
- New Electro House Mix 2011
- DEFCON 13 Top Ten Legal Issues in Computer Security
- DEFCON 13 Credit Cards Everything You have Ever Wanted to Know
- Elcomsoft advanced office recovery download
- Exploiting Symbian 25C3
- DEFCON 18 Exploitation on ARM Technique and Bypassing Defense Mechanisms 1 3
- Vulnserver test
- PDFStreamDumper pageData decodeURL

Revue Twitter
- @OK_Kat22 Desactiva el firewall de nuestro producto para entrar en Internet. Ponemos copia a @PandaTechSup para que te ayuden. Gracias!
- New Nessus Feature Added: CSV Export (Update your plugins to use this feature!)
- @samaiorca if you have PGP, sure :)
- RT @Carlos_Perez: @samaiorca @pauldotcom the treason that a PDF file can be encrypted is because the format support it, CSV is just a te ...
- Report Analyzes Concerns, Business Impact of DDoS Attacks #ddos #security #netsec
- Our own @marcmaiffret presented at #ISSA today If it's a Linux flaw, your phone is directly threatened via @CSOonline
- Maiffret: If it's a Linux flaw, your phone is directly threatened
- NEW: Cyber spies exploiting Java, Flash flaws
- Google Releases Chrome 19, Fixes More Than 20 Bugs via @threatpost
- RT @kees_cook: A write up on the USB stick I took with me to UDS:

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse

Annuaires des videos : security, metasploit, biomet, biometric, windows, botnet, defcon, password, vmware, tutorial, exploit, conference, crypt

+ de mots clés pour les videos

Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter

Top bi-hebdo des articles de SecuObs
- ZERO DAY un documentaire sur les côtés obscurs de l'Internet
- Vmware ESX et ESXI, élévation de privilèges, Déni de service et exécution de code arbitraire
- Shellcoding de fichiers PE via un script Piew, une seule détection avec VirusTotal
- Après la version Mac de DNSCrypt en décembre dernier, la version Windows enfin disponible
- Une belle faille dans le système de paiements sans contact
- Pas de correctif prévu de la 8i à la 11g R2 contre Oracle TNS Poison
- Samba 3.4.x à 3.6.4, accès propriétaires à des données éventuellement sensibles
- La sécurité des clés USB mise à mal par USBDUMPER
- Nouveau firmware 2.0.0 disponible pour le point d'accès malicieux WiFi Pineapple MarK IV
- [Ettercap – Partie 1] Introduction et rappels

Top bi-hebdo de la revue de presse
- zaberg.exe
- iLivid Download Manager
- Hacker steals one million user logins from YouPorn website
- web2net.exe
- CVE-2012-1847
- Detect and Remove DarkComet RAT Malware used by Syrian Government
- taskhost.exe, viewDrive.exe
- CVE-2012-0184
- Hackito Ergo Sum, le cri du hacker dans la nuit des TIC 1
- Intelligence économique ou intelligence de l économie

Top bi-hebdo de l'annuaire des videos
- Shellcode Generator for Windows
- Defcon 19 Olivier Bilodeau PacketFence The Open Source Nac What Weve Done In The Last
- Maltego tutorials the complete and official set
- How to setup openVPN on ipad iphone ipod touch
- EvilGrade or how to falsify WinUpdates and deliver your Meterpreter
- pfSense Quick Look Firewall Content Filter Block Porn Web Proxy Cache
- Tutorial: Installing VMWARE Player and Running Ubuntu As a ...
- BlackShades HTTP Botnet Instalation Blackshades Tweaks
- How to patch in ollydbg
- How to install GNURADIO on Ubuntu 10 04 4 LTS Lucid Lynx

Top bi-hebdo de la revue Twitter
- List of regrets for 2012: Unable to attend Notacon / No hugs from the con that hugs you.
- @michael_keen @Wh1t3Rabbit @christianve Again after lunch with the cloud pedantry. #CloudDiet
- @biosshadow @kriggins @wimremes @diami03 I see a new DefCon contest starting up - Get a pic of Him Smiling. He could have an entourage
- Utilize a set of management processes and management tools that spans on-prem, private, and public cloud environments. #Convcloud #HP
- @Wh1t3Rabbit @michael_keen @ITtechExec Long term value shift: #InfoSec folks say no, IT shifts to public cloud, then #InfoSec folks go away.
- RT @hushedfeet: You down with BGP? - just too much. Thx @jwgoerlich
- Anyone besides me having issues with directed load balancing and the Cisco RV042?
- RT @ekampf: OSX is for building websites, Linux is for running them, Windows is for testing IE
- @lbhuston Wireshark monitoring the USB bus? Fun, No?
- @Zap0tek v0.3-cde; Ubuntu 10.4.3 when running ./arachni I get ./arachni: 3: ../cde-exec: not found ; now trying on a new VM through gem

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT
- Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Outils

English version with Google Translate

Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Par Xavier Poli, secuobs.com
Le 20/06/2009


Résumé : Origami est une plateforme en Ruby qui facilite l'analyse, la création et la modification de fichiers PDF malicieux. Elle permet notamment d'attacher des fichiers cachés et des codes Javascript, les fichiers en résultant échappent à la détection par la plupart des solutions antivirales du marché. - Lire l'article



Origami est une plateforme en Ruby ( lien ) permettant de disséquer, d'analyser et de créer des documents au format PDF ( lien ). Elle fournit en ce sens un ensemble d'outils pour réaliser des scripts facilitant la génération et l'analyse de fichiers PDF malicieux. Origami peut ainsi être utilisé pour créer à la volée des fichiers PDF personnalisés où pour injecter des codes malicieux au sein de fichiers déjà existants.

Elle offre en ce sens la possibilité d'explorer en profondeur la structure de documents PDF à un niveau objet, la décompression des flux et la déobfuscation ( lien ) des noms et des chaînes sont également supportées. D'autres opérations comme le chiffrement, le déchiffrement, les signatures et l'attachement de fichiers sont envisageables par son intermédiaire, alors qu'une interface GTK ( lien ) l'accompagne pour faciliter la navigation au sein des contenus PDF.

Parmi les scripts disponibles, on notera « detecjs.rb » pour rechercher l'ensemble des objets Javascript d'un PDF et « embed.rb » pour ajouter un fichier caché à un document existant, mais également « create-jspdf.rb » pour ajouter du code Javascript ( lien ) qui sera exécuté dès lors que le fichier PDF sera ouvert. Finalement, le script « moebius.rb » transforme lui un document au format PDF en Ruban de Möbius ( lien ).

Les flux au sein d'un PDF étant des objets internes combinés avec des données externes, ils peuvent être utilisés pour y adosser un autre fichier, une vidéo ou une image par exemple. Ces flux supportent différents filtres de transformation pour les données utilisées. Origami supporte certains de ces filtres « SCIIHexDecode, ASCII85Decode, LZWDecode, FlateDecode, RunLengthDecode », alors que « CCITTFaxDecode, JBIG2Decode, DCTDecode, JPXDecode » devraient l'être dans de prochaines versions.

Des tests ont été menés à partir d'un document PDF considéré comme sain d'origine, après sa soumission au service Virus Total ( lien ), et auquel le fichier de test EICAR ( lien ) a été attaché. L'application, ou non, au fichier en résultant, de ces différents filtres, incluant le chiffrement qui n'est pas un filtre en lui-même, a permis d'obtenir des résultats « surprenants » lors d'essais ultérieurs de détection par ce même service, regroupant quarante et une solutions antivirales.

Ainsi le filtre FlateDecode, pour la zlib ( lien ), a permis au fichier malicieux de n'être détecté que par cinq de ces solutions, alors que la combinaison de multiples filtres (ASCIIHexDecode, LZWDecode, ASCII85Decode) a fait descendre ce résultat à seulement deux détections. A noter que l'ajout du chiffrement, et un mot de passe vide, ne changera pas ce nombre. Soit au final un score plus qu'honorable qui démontre que les solutions antivirales sont à la traîne en ce qui concerne les PDF.

Le page du projet sur Security Labs ( lien )
L'article dans les actes SSTIC ( lien )

Source : Blog ESEC Lab - « Virus total with origami? » ( lien ) « Streams and filters in PDF with origami » ( lien ) « Playing with origami in PDF » ( lien )



- Article suivant : MuDoS un générateur générique de Dénis de Service se basant sur la modélisation de facteurs communs
- Article précédent : Récupérer l'historique Web du navigateur d'une victime sans recourir à du code Javascript
- Article suivant dans la catégorie Outils : MuDoS un générateur générique de Dénis de Service se basant sur la modélisation de facteurs communs
- Article précédent dans la catégorie Outils : Slowloris exploite, en Déni de Service, une faille de conception dans Apache 1.x et 2.x, Squid, dhttpd et GoAhead WebServer

Les derniers commentaires publiés pour cet article:
- ESRT @kakroo - Adobe: crashing 100 million machines not an option - Zero-day vulns get 6,000 man-hours of testing ...
- ESRT @Hfuhs - Analyzing PDF Malware - Part 1 ...
- ESRT @malc0de @dunit50 - Here's the JavaScript from that PDF - 1-44 on VT ...
- ESRT @malc0de @urlquery - The PDF from the unknown exploit kit is available - pw: infected ...
- ESRT @mubix @wallofsheep - PDF X-RAY: Now open source Github link to public code ...

Les derniers commentaires de la catégorie Outils:
- IDA 6.2 Released ...
- Microsoft to fix 23 flaws in October Patch Tuesday security update ...
- UPDATE Digital Forensics Framework v1.2.0 ...
- Dissecting Flash with EASE ...
- ESRT @opexxx @r0bertmart1nez @Foundstone - FreeRADIUS-WPE updated ...

Les derniers articles de la catégorie Outils :
- EMET 3.0 met l accent sur la configuration, les notifications et le déploiement au sein des réseaux d entreprise
- Nouveau firmware 2.0.0 disponible pour le point d accès malicieux WiFi Pineapple MarK IV
- Après la version Mac de DNSCrypt en décembre dernier, la version Windows enfin disponible
- Shellcoding de fichiers PE via un script Piew, une seule détection avec VirusTotal
- Qubes BETA 3 disponible, la sortie de la 1.0 imminente
- NGS Secure publie Frisbee Lite, un outil de Fuzzing USB
- Quatre modules Metasploit disponibles pour de la post-exploitation sans fil
- WireShnork un composant Wireshark de Forensic qui utilise Snort
- THC-SSL-DOS, un outil exploitant SSL pour des attaques par Déni de Service
- Metasploit Community Edition, convergence partielle entre Metasploit et Metasploit Pro




SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :