介绍
在网络安全的动态领域,保持警惕和主动防御是关键。恶意行为者经常利用 Microsoft Office 文件和 Zip 存档,嵌入隐蔽 URL 或宏来发起有害操作。此 Python 脚本旨在通过检查 Microsoft Office 文档、Acrobat Reader PDF 文档和 Zip 文件的内容来检测潜在威胁,从而降低无意触发恶意代码的风险。
理解脚本
鉴别
该脚本可以智能识别 Microsoft Office 文档(.docx、.xlsx、.pptx)、Acrobat Reader PDF 文档(.pdf)和 Zip 文件。这些文件类型(包括 Office 文档)是可以通过编程方式检查的 zip 存档。
解压扫描
对于 Office 和 Zip 文件,该脚本会将内容解压缩到临时目录中。然后,它使用正则表达式扫描这些内容中的 URL,寻找潜在的妥协迹象。
忽略某些 URL
为了最大限度地减少误报,该脚本包含一个要忽略的域列表,过滤掉 Office 文档中常见的常见 URL。这可确保集中分析异常或潜在有害的 URL。
标记可疑文件
URL 不在忽略列表中的文件将被标记为可疑。这种启发式方法可以根据您的特定安全上下文和威胁情况进行适应性调整。
清理和恢复
扫描后,脚本通过擦除临时解压缩文件进行清理,不留下任何痕迹。
用法
要有效地利用该脚本:
1.设置
-
确保您的系统上安装了 Python。
-
将脚本放置在可访问的位置。
-
使用以下命令执行脚本:(python CanaryTokenScanner.py FILE_OR_DIRECTORY_PATH替换FILE_OR_DIRECTORY_PATH为实际文件或目录路径。)
2.输出
-
检查输出。请记住,此脚本是一个起点;标记的文档可能不会有害,并且并非所有恶意文档都会被标记。建议进行手动检查和额外的安全措施。
-
脚本展示
项目地址:
https://github.com/0xNslabs/CanaryTokenScanner
原文始发于微信公众号(Ots安全):Canary Token 反侦查检测工具 检测PDF/Docx办公文档可疑URL
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论