Proofpointが新PDFツール「PDF Object Hashing」を公開

Proofpointは、セキュリティチームが悪意のあるPDFファイルを検出・追跡するのに役立つ新しいオープンソースツール「PDF Object Hashing」を公開しました。このツールは現在GitHubで利用可能であり、フィッシングキャンペーン、マルウェア配布、ビジネスメール詐欺攻撃で脅威アクターが使用する不審なドキュメントを特定する上で大きな進歩を意味します。

サイバー攻撃におけるPDFの脅威

PDFは、ユーザーにとって正規のものに見えるため、サイバー攻撃における主要な武器となっています。脅威アクターは、悪意のあるURL、QRコード、または偽の銀行口座情報を含むPDFを頻繁に送信し、人々をだましてクリックさせます。

従来のセキュリティツールの限界

従来のセキュリティツールは、PDFがユーザーには同じに見えるように無数の方法で改変できるため、これらの脅威を捕捉するのに苦労することがよくあります。PDF形式は複雑で柔軟性があり、これがセキュリティチームにとって不利に働きます。仕様では同じドキュメントを複数の方法で表現できるため、攻撃者は追跡を隠すための多くの選択肢を持っています。

一部のPDFは暗号化されており、内部の分析をさらに困難にしています。PDFが暗号化されている場合、セキュリティツールは内部のテキスト、URL、画像を読み取ることができません。さらに、PDFの異なる部分はプレーンテキストまたは圧縮形式で保存でき、ドメイン名などの重要な詳細がこれらの圧縮セクションに隠されている可能性があります。これらのバリエーションにより、すべての悪意のあるPDFを捕捉する単純な検出ルールを作成することはほぼ不可能です。攻撃者がURLを変更したり、偽の請求書画像を入れ替えたりすると、シグネチャ全体が破綻し、脅威が見過ごされてしまいます。

PDF Object Hashingの仕組み

Proofpointのソリューションは異なるアプローチを採用しています。このツールは、PDFの内部に焦点を当てるのではなく、ドキュメントの基盤となる構造を調べます。PDF内のオブジェクトの種類とそれらが現れる順序を分析し、それらのオブジェクト内の特定の詳細は無視します。これにより、攻撃者が画像、URL、またはテキストを変更しても一定に保たれるドキュメントの「骨格」またはテンプレートが作成されます。

このツールは、これらのオブジェクトタイプを一意のフィンガープリントにハッシュ化します。このフィンガープリントは、脅威アクターが誘引画像を変更したり、悪意のあるURLを更新したり、その他のコンテンツを変更したりしても同じままです。この技術は、詳細が隠されていてもドキュメント構造は可視であるため、暗号化されたPDFにも機能します。

実際の脅威アクター追跡事例

Proofpointはすでにこのツールを使用して脅威アクターを追跡しています。ウクライナを標的とするUAC-0050グループは、マルウェアを含む暗号化されたPDFを配布しています。ファイルが暗号化されているため、従来のツールでは内部の悪意のあるURLを抽出できません。しかし、PDF Object Hashingは、暗号化に関係なく、その構造のみを分析することで、Proofpointがこれらの脅威を特定することを可能にしました。

インドから活動しているとみられるUNK_ArmyDriveとして知られる別の脅威アクターも、攻撃チェーンでPDFに依存しています。

セキュリティ対策への貢献とオープンソース化

PDF Object Hashingを従来の検出方法と併用することで、セキュリティチームはこれまで見逃されていた可能性のある悪意のあるドキュメントのバリエーションを捕捉できます。このツールは、帰属分析を大幅に改善し、複数のPDF攻撃が同じ脅威アクターまたはキャンペーンに関連している時期をセキュリティチームが理解するのに役立ちます。類似のオブジェクト構造を持つPDFをクラスタリングすることで、アナリストはパターンを特定し、将来の攻撃を予測できます。

この開発は、ファイル形式の複雑さを理解することが、いかにより堅牢なセキュリティソリューションにつながるかを示しています。オープンソースとしてのリリースにより、より広範なセキュリティコミュニティがこの検出方法を独自のツールやワークフローに統合できるようになります。

---

元記事: https://gbhackers.com/new-pdf-tool-detects-malicious-files/