cccs/assemblyline-service-pdfid

PDFId Service

此Assemblyline服务使用Didier Stevens的PDFId（版本2.7）和PDFParser（版本7.4）工具从PDF文件中提取元数据和对象。

服务详情

配置

• ADDITIONAL_KEYS: PDFid搜索的关键字列表
• HEURISTICS: 选择在服务执行期间运行的启发式插件。可选插件列表如下：
  • pdf_id/pdfid/plugin_embeddedfile
  • pdf_id/pdfid/plugin_nameobfuscation
  • pdf_id/pdfid/plugin_suspicious_properties
  • pdf_id/pdfid/plugin_triage
• MAX_PDF_SIZE: PDFid处理的最大PDF大小。在深度扫描期间将忽略此值

执行

PDFId服务将为每个文件报告以下信息（如存在）：

文件信息

PDFId

• PDF头字符串
• 数量统计：
  • 对象(objects)
  • 流(streams)
  • 流结束(endstreams)
  • 交叉引用(xref)
  • trailer
  • startxref
  • '/Page'
  • '/Encrypt'
  • '/Objstm'
  • '/JS'
  • '/Javascript'
  • '/AA'
  • '/OpenAction'
  • '/AcroForm'
  • '/JBIG2Decode'
  • '/RichMedia'
  • '/Launch'
  • '/Colours'
  • '%%EOF'
  • %%EOF后的字节数
• 总熵值
• 流内熵值
• 流外熵值
• 修改日期（AL标签：file.pdf.date.modified）
• 创建日期（AL标签：file.date.creation）
• 最后修改日期（AL标签：file.date.last_modified）
• 源修改日期（AL标签：file.pdf.date.source_modified）

PDFParser

注: PDFParser仅在深度扫描模式下，或PDFId插件（见下文）检测到样本中存在可疑元素时才会运行。

• 数量统计：

  • /Comment
  • /XREF
  • /Trailer
  • /StartXref
  • /Indirect object
  • /Catalog
  • /ExtGState
  • /Font
  • /FontDescriptor
  • /Pages

• 提取的PDF元素：

  • 注释(Comments)
  • Trailer
  • StartXref

• 提取的可疑元素：

  • 当被PDFId插件标记时的完整对象（作为提取文件）（JBIG2Decode对象仅在深度扫描模式下提取）。
  • 特定对象内容（在AL结果中），并对内容运行FrankenStrings模式以搜索IOC（由PDFId插件确定）。

• ObjStms

  • 服务将尝试将样本中的对象流重新处理为PDF文件，以重新运行PDFId和PDFParser分析器。在深度扫描模式下，最多将重新处理100个objstms，否则最多重新处理2个。

PDFId插件

PDFId插件是PDFId服务使用的Python脚本，用于基于PDFId结果对可疑属性进行评分。用户可以向服务添加插件（见上文配置）。插件脚本需符合以下格式才能与此AL服务配合使用：

python
class cPDFiD[NAME](cPluginParent):
    onlyValidPDF = True
    name = '[插件名称]'

    def __init__(self, oPDFiD):
        self.oPDFiD = oPDFiD
        # 无论是否使用hits，Score方法必须返回它
        self.hits = []

    def Score(self):
        score = 0
        [可能调整score/self.hits的条件]

        return score, self.hits

    def Instructions(self, score, hits):
        if score == 1000:
            # 这些消息将与分数一起显示在AL结果中
            return '一些消息'

        if score == 500:
            return '另一些消息'

        if score == 0:
            return

有关此服务已使用的插件示例，请参见"pdfid"文件夹下的源代码。

镜像变体和标签

Assemblyline服务基于https://hub.docker.com/r/cccs/assemblyline-v4-service-base%E6%9E%84%E5%BB%BA%EF%BC%8C%E8%AF%A5%E5%9F%BA%E7%A1%80%E9%95%9C%E5%83%8F%E5%9F%BA%E4%BA%8EDebian 11并带有Python 3.11。

Assemblyline服务使用以下标签定义：

运行此服务

这是一个Assemblyline服务，设计用于Assemblyline框架中运行。

如果要在本地测试此服务，可以从shell直接运行Docker镜像：

bash
docker run \
    --name Pdfid \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-pdfid

要将此服务添加到您的Assemblyline部署，请遵循此https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment%E3%80%82

文档

Assemblyline通用文档可在以下地址获取：https://cybercentrecanada.github.io/assemblyline4_docs/