[英]How to test ClamAV service for potential threats
作為企業軟件項目的一部分,我們的應用程序連接到由 ClamAV 支持的防病毒服務,使用 ICAP 作為通信協議。 我想測試防病毒服務對惡意文檔的響應,但當然,我不能使用實際上感染了惡意軟件的文檔。 我找到了 EICAR Anti Malware Testfile,但它似乎只以 a.txt 或 a.zip 的形式出現,並且系統只允許上傳 Word 或 PDF。 防病毒服務僅在“按原樣”發送給它時識別 EICAR,但在嵌入 Word 或 PDF 時不會識別。
我的問題是:如何創建一個被 ClamAV 識別為威脅的 Word 和/或 PDF 文檔,盡管它實際上根本沒有害處?
我最初建議
Since docx is a zip you could try rename eicar.zip as eicar.docx it proves only that a docx is reviewed/scanned similar to a zip, not that the AV can detect malicious VBA macros which would be a different payload.
但是,涉及 Apache Tika 文件驗證的上傳步驟阻止了這種簡單化的方法,因為文件類型不符合預期。
我的第二個建議是
將有效的 docx 重命名為 zip 使用資源管理器將 eicar 文本放入其中(或使用 zip 添加)並重命名為 docx,因為這可能會繞過 Tika 檢查。
顯然這奏效了。
Likewise it should be possible to embed eicar.txt inside a PDF however detection again would not mean the av is scanning for JavaScript exploitation, just that the plain text signature is seen in a PDF file, thus only hints that a PDF is scanned.
由於 PDF 加密,這更加困難,但是在編輯器中使用手工制作的文本文件附件,它可能不會被編碼,只是存儲為純文本,足以看到 eicar 觸發器。
它可能看起來像這樣,但剪切和粘貼顯示為文本的二進制文件可能會由於 ansi 行尾編碼而無法存儲為 eicar.pdf。 所以從下面的鏈接中獲取二進制副本
%PDF-1.4
%µ¶
1 0 obj
<</Pages 2 0 R/Type/Catalog>>
endobj
2 0 obj
<</Count 1/Kids[3 0 R]/Type/Pages>>
endobj
3 0 obj
<</Contents 4 0 R/MediaBox[0 0 500 800]/Parent 2 0 R/Resources<</Font<</F1 5 0 R>>>>/Type/Page>>
endobj
4 0 obj
<</Length 57>>
stream
q BT /F1 24 Tf 1 0 0 1 50 720 Tm (Hello World!) Tj ET Q
endstream
endobj
5 0 obj
<</BaseFont/Courier/Subtype/Type1/Type/Font>>
endobj
xref
0 6
0000000000 65536 f
0000000016 00000 n
0000000062 00000 n
0000000114 00000 n
0000000227 00000 n
0000000333 00000 n
trailer
<</Size 6/Root 1 0 R/ID[<89311A609A751F1666063E6962E79BD5><FDDAE606D8247DFCBA7D13E1833DEDE3>]>>
startxref
395
%%EOF
%X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
%%EOF
暫時可從https://gofile.io/d/53fylg看起來像這樣,假設您的防病毒軟件允許下載:-)嘗試將下載保存為文本,否則我需要上傳為 RAR
然而,這兩個“陽性”將與任何 AV 正在搜索這些文件類型以查找當前已知漏洞的跡象一樣好。
我推薦下載本文底部的實時腳本運行版本進行更深入的測試。 https://blog.didierstevens.com/2015/08/28/test-file-pdf-with-embedded-doc-dropping-eicar/
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.