如何測試 ClamAV 服務的潛在威脅

Question

作為企業軟件項目的一部分，我們的應用程序連接到由 ClamAV 支持的防病毒服務，使用 ICAP 作為通信協議。 我想測試防病毒服務對惡意文檔的響應，但當然，我不能使用實際上感染了惡意軟件的文檔。 我找到了 EICAR Anti Malware Testfile，但它似乎只以 a.txt 或 a.zip 的形式出現，並且系統只允許上傳 Word 或 PDF。 防病毒服務僅在“按原樣”發送給它時識別 EICAR，但在嵌入 Word 或 PDF 時不會識別。

我的問題是：如何創建一個被 ClamAV 識別為威脅的 Word 和/或 PDF 文檔，盡管它實際上根本沒有害處？

Answer 1

我最初建議

Since docx is a zip you could try rename eicar.zip as eicar.docx it proves only that a docx is reviewed/scanned similar to a zip, not that the AV can detect malicious VBA macros which would be a different payload.

但是，涉及 Apache Tika 文件驗證的上傳步驟阻止了這種簡單化的方法，因為文件類型不符合預期。

我的第二個建議是

將有效的 docx 重命名為 zip 使用資源管理器將 eicar 文本放入其中（或使用 zip 添加）並重命名為 docx，因為這可能會繞過 Tika 檢查。

顯然這奏效了。

Likewise it should be possible to embed eicar.txt inside a PDF however detection again would not mean the av is scanning for JavaScript exploitation, just that the plain text signature is seen in a PDF file, thus only hints that a PDF is scanned.

由於 PDF 加密，這更加困難，但是在編輯器中使用手工制作的文本文件附件，它可能不會被編碼，只是存儲為純文本，足以看到 eicar 觸發器。

它可能看起來像這樣，但剪切和粘貼顯示為文本的二進制文件可能會由於 ansi 行尾編碼而無法存儲為 eicar.pdf。 所以從下面的鏈接中獲取二進制副本

%PDF-1.4
%µ¶

1 0 obj
<</Pages 2 0 R/Type/Catalog>>
endobj

2 0 obj
<</Count 1/Kids[3 0 R]/Type/Pages>>
endobj

3 0 obj
<</Contents 4 0 R/MediaBox[0 0 500 800]/Parent 2 0 R/Resources<</Font<</F1 5 0 R>>>>/Type/Page>>
endobj

4 0 obj
<</Length 57>>
stream
q BT /F1 24 Tf 1 0 0 1 50 720 Tm (Hello World!) Tj ET Q

endstream
endobj

5 0 obj
<</BaseFont/Courier/Subtype/Type1/Type/Font>>
endobj

xref
0 6
0000000000 65536 f 
0000000016 00000 n 
0000000062 00000 n 
0000000114 00000 n 
0000000227 00000 n 
0000000333 00000 n 

trailer
<</Size 6/Root 1 0 R/ID[<89311A609A751F1666063E6962E79BD5><FDDAE606D8247DFCBA7D13E1833DEDE3>]>>
startxref
395
%%EOF
%X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
%%EOF

暫時可從https://gofile.io/d/53fylg看起來像這樣，假設您的防病毒軟件允許下載:-)嘗試將下載保存為文本，否則我需要上傳為 RAR

然而，這兩個“陽性”將與任何 AV 正在搜索這些文件類型以查找當前已知漏洞的跡象一樣好。

我推薦下載本文底部的實時腳本運行版本進行更深入的測試。 https://blog.didierstevens.com/2015/08/28/test-file-pdf-with-embedded-doc-dropping-eicar/