Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de détection et de chasse aux menaces centré sur la structure des documents PDF.
🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramètres spécifiques. Ces types sont concaténés puis hachés pour produire une empreinte unique (analogue à un imphash pour les PE). Cette approche contourne la complexité du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiérarchie documentaire plutôt que sur le contenu déchiffré.
🔎 Détection et attribution. En se concentrant sur la structure du document, l’outil permet d’identifier des PDFs structurellement similaires même si les indicateurs fragiles (hashs de fichiers, URLs) changent. Il facilite ainsi le regroupement (clustering) de fichiers, la détection de familles et l’attribution à des acteurs de menace lorsque les chaînes d’attaque évoluent.
🧪 Cas démontrés. Proofpoint illustre l’efficacité de la méthode avec des exemples impliquant les acteurs UAC-0050 et UNK_ArmyDrive.
📦 Disponibilité. L’outil est disponible sur GitHub et prend en charge le clustering de fichiers PDF pour l’attribution et l’analyse.
IOCs et TTPs:
- IOCs: aucun indicateur (hash, domaine, URL) fourni dans l’annonce.
- TTPs (détection):
- Empreinte structurelle d’objets PDF (hachage de la séquence des types d’objets)
- Détection robuste malgré variations d’artefacts (hashs, URLs) et présence de chiffrement
- Clustering de PDFs pour attribution
- Acteurs mentionnés: UAC-0050, UNK_ArmyDrive
Type d’article: annonce d’un nouvel outil et présentation d’une technique de détection/threat hunting.
🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/proofpoint-releases-innovative-detections-threat-hunting-pdf-object-hashing