IPA: Interactive PDF Analysis
Interactive PDF Analysis (chiamato anche IPA) consente a qualsiasi ricercatore di esplorare i dettagli interni di qualsiasi file PDF. I file PDF possono essere utilizzati per trasportare payload dannosi che sfruttano le vulnerabilità e i problemi dei visualizzatori di PDF, oppure possono essere utilizzati nelle campagne di phishing come artefatti di ingegneria sociale. L’obiettivo di questo software è quello di consentire a qualsiasi analista di andare in profondità nel proprio file PDF. Tramite IPA, è possibile estrarre payload importanti dai file PDF, comprendere le relazioni tra gli oggetti e dedurre elementi che possono essere utili per il triage di payload dannosi o non attendibili.
Semplificare l’analisi dei file PDF
Quando ho iniziato a occuparmi di reverse engineering di malware, il principale insieme di strumenti disponibili per l’analisi di payload malevoli era costituito dagli eccellenti tool di Didier Stevens. Diventati di fatto uno standard, uno dei principali limiti di questi strumenti era il loro utilizzo esclusivamente da riga di comando, che richiedeva di ricordare una combinazione molto ampia di flag e di interpretare manualmente i numeri associati ai vari oggetti.
Sebbene analisti e sviluppatori debbano confrontarsi quotidianamente con strumenti a riga di comando di ogni tipo, ciò non significa che non sia possibile progettare un nuovo strumento grafico per l’ispezione dei file.
In effetti, una parte rilevante dei campi della static analysis e del reverse engineering riguarda anche il modo in cui le informazioni più significative vengono presentate all’analista dal punto di vista dell’esperienza utente. Gli strumenti di Didier Stevens, così come peepdf, sono ampiamente utilizzati e consolidati nell’industria. Tuttavia, un analista può trarre beneficio da uno strumento grafico che consenta di comprendere meglio le relazioni tra i vari oggetti, di capire a quali pagine fanno riferimento e a quali tipologie appartengono (immagini, font, colori, metadati), di esportare facilmente il contenuto degli stream e di visualizzare i dizionari in forma tabellare.
L’ispirazione principale va alle fantastiche persone dietro a Zynamics, e al loro eccellente prodotto, chiamato PDF dissector.