Proofpoint publie PDF Object Hashing, un outil open source pour détecter les PDFs malveillants par empreinte structurelle
Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de détection et de chasse aux menaces centré sur la structure des documents PDF. 🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramètres spécifiques. Ces types sont concaténés puis hachés pour produire une empreinte unique (analogue à un imphash pour les PE). Cette approche contourne la complexité du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiérarchie documentaire plutôt que sur le contenu déchiffré. ...