Skript zur proaktiven Identifizierung von Canary-Tokens in Microsoft Office-Dokumenten und Acrobat Reader PDF (docx, xlsx, pptx, pdf)



Erkennen von Canary-Tokens und verdächtigen URLs in Microsoft Office, Acrobat Reader PDF- und Zip-Dateien

Einführung

Im dynamischen Bereich der Cybersicherheit, Wachsamkeit und Proaktivität Verteidigung sind der Schlüssel. Böswillige Akteure nutzen häufig Microsoft Office-Dateien und Zip-Archive, indem sie verdeckte URLs oder Makros einbetten, um schädliche Aktionen einzuleiten. Dieses Python-Skript wurde entwickelt, um potenzielle Bedrohungen zu erkennen, indem es den Inhalt von Microsoft Office-Dokumenten, Acrobat Reader-PDF-Dokumenten und Zip-Dateien untersucht und so das Risiko verringert, versehentlich Schadcode auszulösen.

Das Skript verstehen

Identifikation

Das Skript erkennt intelligent Microsoft Office-Dokumente (.docx, .xlsx, .pptx), Acrobat Reader PDF-Dokumente (.pdf) und Zip-Dateien. Bei diesen Dateitypen, einschließlich Office-Dokumenten, handelt es sich um ZIP-Archive, die programmgesteuert untersucht werden können.

Dekomprimierung und Scannen

Sowohl bei Office- als auch bei Zip-Dateien dekomprimiert das Skript den Inhalt in ein temporäres Verzeichnis. Anschließend werden diese Inhalte mit regulären Ausdrücken nach URLs durchsucht und nach potenziellen Anzeichen einer Kompromittierung gesucht.

Bestimmte URLs ignorieren

Um Fehlalarme zu minimieren, enthält das Skript eine Liste zu ignorierender Domänen und filtert häufige URLs heraus, die normalerweise in Office-Dokumenten zu finden sind. Das sorgt für Fokussierung Analyse auf ungewöhnliche oder potenziell schädliche URLs.

Verdächtige Dateien kennzeichnen

Dateien mit URLs, die nicht auf der Ignoriert-Liste stehen, werden als verdächtig markiert. Diese heuristische Methode ermöglicht eine Anpassungsfähigkeit basierend auf Ihrem spezifischen Sicherheitskontext und Ihrer Bedrohungslandschaft.

Bereinigung und Wiederherstellung

Nach dem Scannen bereinigt das Skript die temporären dekomprimierten Dateien und hinterlässt keine Spuren.

Verwendung

So nutzen Sie das Skript effektiv:

  1. Aufstellen
  2. Stellen Sie sicher, dass Python auf Ihrem System installiert ist.
  3. Platzieren Sie das Skript an einem zugänglichen Ort.
  4. Führen Sie das Skript mit dem Befehl aus: python CanaryTokenScanner.py FILE_OR_DIRECTORY_PATH (Ersetzen FILE_OR_DIRECTORY_PATH mit der eigentlichen Datei bzw Verzeichnis Weg.)

  5. Deutung

  6. Untersuchen Sie die Ausgabe. Denken Sie daran, dass dieses Skript ein Ausgangspunkt ist. Gekennzeichnete Dokumente sind möglicherweise nicht schädlich und nicht alle schädlichen Dokumente werden gekennzeichnet. Eine manuelle Prüfung und zusätzliche Sicherheitsmaßnahmen sind ratsam.

Drehbuch-Showcase

Ein Beispiel für das Canary Token Scanner-Skript in Aktion, das seine Fähigkeit demonstriert, verdächtige URLs zu erkennen.

Haftungsausschluss

Dieses Skript ist nur für Bildungs- und Sicherheitstestzwecke gedacht. Gehen Sie verantwortungsvoll und verantwortungsbewusst damit um Einhaltung mit den geltenden Gesetzen und Vorschriften.



Source link

Loading...