Forum: PC Hard- und Software Linux: Verdächtige pdf-Datei untersuchen

> Ich würde gerne den Inhalt einer dubiosen pdf untersuchen.

> Womit kann man das Ding gefahrlos auseinander nehmen?

Steht in der c't vom heise Verlag:
https://www.heise.de/ratgeber/Schadcode-finden-Wie-Sie-PDF-und-Office-Dateien-sicher-untersuchen-7262138.html?seite=all

Moriz schrieb:
> od zeigt schon mal was merkwürdiges: das Generierungsdatum der Datei ist
> als UTC+1 angegeben – wir haben im Moment UTC+2.

Was soll daran "dubios" sein? Die Erde ist größer als Dein Vorgarten, 
und natürlich können auch in anderen Zeitzonen Menschen PDF-Dateien 
erzeugen.

Du kannst ja mal mit mutool in die Innereien sehen, ein paar 
Informationen über PDF-Dateien rückt das schon raus.

PDFs können intern kompliziert sein. Ein einfacher Hex-Editor bringt 
einen nicht sonderlich weit.

Der hier https://blog.didierstevens.com/programs/pdf-tools/ hat 
spezielle Open Source Analysetools geschrieben, und ein Video-Tutorial.

Harald K. schrieb:
> Was soll daran "dubios" sein?

Weil sie angeblich hier aus der Stadt kommt, von jemandem, den ich 
kenne. Mail ohne Inhalt, nur ½ MB pdf.

Wenn das nicht dubios ist…

Hannes J. schrieb:
> PDFs können intern kompliziert sein. Ein einfacher Hex-Editor bringt
> einen nicht sonderlich weit.

Das weiß ich… Die Erkenntnis mit der falschen Zeitzone hat od schon mal 
gebracht.

Aber danke für den Tipp.

> od zeigt schon mal was merkwürdiges: das Generierungsdatum der Datei ist
> als UTC+1 angegeben – wir haben im Moment UTC+2.

Sommerzeit versus Winterzeit ?!

Bradward B. schrieb:
>> od zeigt schon mal was merkwürdiges: das Generierungsdatum der
> Datei ist
>> als UTC+1 angegeben – wir haben im Moment UTC+2.
>
> Sommerzeit versus Winterzeit ?!

Du scheinst mich für ein wenig doof zu halten. Wenn der Zeitstempel das 
Datum 26.09.2024 trägt, ist das nicht sehr wahrscheinlich…

Wo ist denn der Zeitstempel, in der Datei selbst oder in den Metadaten? 
Da war doch mal was mit FAT32 und fehlende Zeitzonen.

Moriz schrieb:
> Das weiß ich… Die Erkenntnis mit der falschen Zeitzone hat od schon mal
> gebracht.

Erstens habe ich nichts über falsche Zeitzonen geschrieben.

Zweitens, wenn du das Generierungsdatum aus dem PDF kennst, dann hast du 
nicht zufällig das PDF mit einem Viewer, Previewer o.ä. geöffnet? 
Vielleicht unbewusst weil dein Dateimanager PDF-Previews anzeigt oder 
Metadaten parst? Tja, dann hoffe mal dass die Software wasserdicht ist.

Alexander schrieb:
> Wo ist denn der Zeitstempel, in der Datei selbst oder in den Metadaten?
> Da war doch mal was mit FAT32 und fehlende Zeitzonen.

Am Ende in der Datei. Die Metadaten einer per Mail herunter geladenen 
Datei sind in aller Regel nutzlos, weil auf dem Zielsystem entstanden.

Wenn in der Datei UTC+1 steht, dann scheint der Generator einen Begriff 
von Zeitzonen zu haben – also lieber erst mal gründlich lesen, dann 
nachdenken…

> Wenn der Zeitstempel das Datum 26.09.2024 trägt, ist das nicht sehr
> wahrscheinlich…

Welches Generierungsdatum hat denn nun die Datei ?
Abgesehen davon, das es heutzutage ein leichtes für eine Datei ist, per 
Email um den Globus zu reisen.

Jetzt wegen einer "ausländischen" Zeitzonenangabe einer Datei unlautere 
Absichten zu unterstellen grenzt IMHO an infantilen Cyberrassismus ;-)

Hannes J. schrieb:
> Zweitens, wenn du das Generierungsdatum aus dem PDF kennst, dann hast du
> nicht zufällig das PDF mit einem Viewer, Previewer o.ä. geöffnet?

Lesen scheint nicht zu deinen Kernkompetenzen zu gehören.

Moriz schrieb:
> Harald K. schrieb:
>> Was soll daran "dubios" sein?
>
> Weil sie angeblich hier aus der Stadt kommt, von jemandem, den ich
> kenne. Mail ohne Inhalt, nur ½ MB pdf.
>
> Wenn das nicht dubios ist…

Was sagt denn Dein Bekannter dazu?

Magnus M. schrieb:

> Was sagt denn Dein Bekannter dazu?

Der hat noch nicht geantwortet. Womöglich ist sein Postfach (t-online) 
gekapert? Die Mail kam jedenfalls von einer 172-er Adresse aus dem Netz 
der Telekom.

Moriz schrieb:
> Der hat noch nicht geantwortet. Womöglich ist sein Postfach (t-online)
> gekapert?

Besitzt dein Bekannter bereits ein sogenanntes "Telefon"?

Magnus M. schrieb:

> Besitzt dein Bekannter bereits ein sogenanntes "Telefon"?

Ich habe keine sogenannte Telefonnummer…

Mit Javascript und encrypted Streamchunks, besitzt PDF schon genuegend
Ausdrucksmittel, dass nicht jeder H0nk durch blosses "Ansehen" den
Inhalt/Payload erkennen koennte.

<pre>
4 0 obj
<</Subtype/XML/Length 1/Type/Metadata>>stream
<?xpacket begin="n++" id="W5M0MpCehiHzreSzNTczkc9d"?>
=¤¦Æ¥º¦[O)N§+=-¦)= 5bé%-h=ÜRV-eÆ+2ÄÖ¦(ºªS+¦ªU|¢...
...
endstream
endobj

Es ist nicht zu übersehen, dass wir uns hier in einem deutschen Forum 
befinden. Die Neigung, sich selbst für den aller größten zu halten und 
selbstvertändlich davon auszugehen, dass einen niemand auch nur 
ansatzweise das Wasser reichen kann, ist ubiquitär…

Thomas W. schrieb:
> Das wird alles noch sehr interessant. But I digress.

Die Behörden sind darin natürlich absolute Spitze! Und das kleine 
Arschloch eifert ihnen nach, ohne ihr Niveau zu erreichen… Notfalls gibt 
es sich mit down voting zufrieden. Ist besser als gar nichts…

Moriz schrieb:
> Es ist nicht zu übersehen
das du keine ahnung davon hast, wie solche Zeitstempel zu stande kommen. 
Und weil du das nicht verstehst, denkst du, du bist was großem auf der 
Spur.
Troll auf Reddit.

Moriz schrieb:
> Womit kann man das Ding gefahrlos auseinander nehmen?

https://remnux.org

Kaj G. schrieb:
> Troll auf Reddit.

Spar dir deine Unverschämtheiten.

Rbx schrieb:
> https://remnux.org

Ich hab mir gerade eine kali-VM herunter geladen und versuche das Ding 
zu einem einigermaßen augenfreudlichen Farbschema zurecht zu 
konfigurieren, aber Thunar weigert sich standhaft. Wie kann man nur 
schwarze Fensterhintergründe  vorkonfigurieren? Wollen die depressiv 
werden? Das ist nix für mich.

Macht Rmnux auch solche Geschichten, oder sind die vernünftig?

>> Es ist nicht zu übersehen
> das du keine ahnung davon hast, wie solche Zeitstempel zu stande kommen.
Die angesprochenen Ahnungslosigkeit scheint sich auf weite Bereiche 
auszudehnen.

Die Frage ist auch, was 'od' aka "octal dump" überhaupt aus einen file 
lesen kann und was nicht,  insbesonders da solche Informationen wie 
creation time nicht unbedingt zum file-content sondern zum filesystem 
gehören.

Das die timezone zu den seperaten file stats gehört wäre mir auch neu. 
BTW um welches filesystem handelt es sich überhaupt?

* https://man7.org/linux/man-pages/man1/od.1.html
* https://man7.org/linux/man-pages/man2/statx.2.html
* https://linux.die.net/man/2/stat

Vielleicht hat der Bekannte auf seinem PC (absichtlich oder
unabsichtlich) einfach nur eine andere Zeitzone eingestellt.

Franko S. schrieb:
> Wenn da was "falsche" steht ist das nicht dubios sondern 99% der
> Fälle kaputte Software die das PDF erzeugt hat.

Monk schrieb:
> Möglicherweise wurde die Datei mit einem Online Tool erstellt, z.B.
> Google Docs oder so.

Evtl. enthält die PDF-Datei einen "Creator"- und/oder einen
"Producer"-Eintrag, der darüber Aufschluss gibt.

Franko S. schrieb:
> Motopick schrieb:
>> Mit Javascript und encrypted Streamchunks, besitzt PDF schon genuegend
>> Ausdrucksmittel, dass nicht jeder H0nk durch blosses "Ansehen" den
>> Inhalt/Payload erkennen koennte.
>
> Das passiert auch ohne Javascript bei den grundlegensten Metadaten. Mit
> einem HEX-Editor in PDFs kommt man generell nicht weit.

Man kann in ein PDF auch ein Postscriptfile einbetten. Das mach(t)en
die ersten Versionen von PDF-Erzeugern naemlich mit den eigentlichen
Druckdaten. Da ist dann ganz normal lesbares :) Postscript drin.
Metadaten wie Creator, div. Daten sind ohnehin eher unverschluesselt.

Yalu X. schrieb:
> Vielleicht hat der Bekannte auf seinem PC (absichtlich oder
> unabsichtlich) einfach nur eine andere Zeitzone eingestellt.

Die Antwort kam heute Morgen: das Postfach wurde gekapert, wie ich 
vermutet hatte.

Die Mail kam von einem Telekom-Server, vermutlich dem Mailportal. Da 
wird man kaum eine Zeitzone einstellen können und pdfs generieren wohl 
eher auch nicht.

Wahrscheinlich hat da jemand PWs durchprobiert und plötzlich war er 
drin. Dann die pdf – weiß der Teufel wo generiert und weil der Hund 
keine Ahnung hat, dass wir Sommerzeit haben, hat er eben auf seiner 
Maschine UTC+1 eingestellt – hochgeladen und den Mist an die 
Adressbucheinträge verschickt.

Mit etwas Überlegung kann man also schon mit einfachsten Mitteln solche 
Ungereimtheiten erkennen, sofern man kein Brett vorm Kopf hat. Dass die 
Schlauköpfe hier das alles in Bausch und Bogen als Unsinn abtun mussten, 
das schuldeten sie schon dem schlechten Ruf des Forums.

Monk schrieb:
> Wenn du so wenig Input lieferst, darfst du dich nicht wundern, dass
> geraten wird.

Ich hatte eine konkrete Frage gestellt, zu deren Beantwortung kein 
Detailwissen zum aktuellen Fall notwendig war.

> Möglicherweise wurde die Datei mit einem Online Tool erstellt, z.B.
> Google Docs oder so.

Malware mit einem Online-Tool zusammen klöppeln? Glaub ich eher nicht.

Da VirusTotal das Ding als harmlos einschätzt, dürfte das eine 
"Spezialanfertigung" aus irgend einem Malware-Generator sein.

Moriz schrieb:
> Da VirusTotal das Ding als harmlos einschätzt, dürfte das eine
> "Spezialanfertigung" aus irgend einem Malware-Generator sein.

Ich verstehe. Wenn das VirusTotal das Ding als gefährlich einstuft, ist 
es logischerweise harmlos.

Mark S. schrieb:
> Ich verstehe.

Glaub ich nicht.

Was ist das Ziel?
Was ist der Inhalt? Die Datei, die angezeigt werden?
Die Strukturen des PDF?

Es gibt Online PDF2JPG (o.ä.) Konverter.
Dann könntest du das dubiose evt. in ein *.jpg konvertieren und ansehen?

Vielleicht gibt es sogar einen Online-PDF-Viewer?

Oder geht es dir darum, mit viel Aufwand ein PDF zu reverse-engineeren?

Oder mal

cat abc.pdf | strings | more

versucht? Ist vielleicht etwas lesbares vom Inhalt/der Malware zu sehen?
Vielleicht auch einfach mal mit einem nicht dubiosen PDF testen,
damit man vergleichen kann...

Moin,

Nachdem das urspruengliche Problem ja geloest ist - wie schlau/sicher 
ist denn das gute, alte "gs", also ghostscript, in der Kommanodzeile - 
kann das durch garstige pdfs groben Unfug treiben oder ist es dazu "zu 
dumm"?

Gruss
WK

Ziemlich am Ende finden sich diese Strings:

/Producer (SECnvtToPDF V1.0)
/CreationDate (D:20240926121534+01'00')
/Creator (OKI ES7170 MFP)

Monk schrieb:
> Du hältst dich für super schlau, aber dass ich damit das abweichende sonst 
würdest Du wohl

Du Dich doch auch, oder warum meinst Du, überall Deinen Senf dazu geben 
zu müssen, statt Dich auf Dinge zu beschränken, von denen Du Ahnung 
hast?


> Datum erklärt habe, hast du nicht begriffen.

Du auch nicht.

> Zeige uns doch mal die Datei, lass uns rein gucken!

Was willst Du damit? Geht Dich auch gar nix an. Was, wenn das ein 
fehlgeleitetes Firmendokument wäre?

Michael L. schrieb:
>> Zeige uns doch mal die Datei, lass uns rein gucken!
>
> Was willst Du damit? Geht Dich auch gar nix an.

naja, dann wählt doch einfach die pragmatische lösung:
schnapp dir einen raspi, installier die ein raspbian, kopier die 
pdf-datei drauf.
jetzt trennst du das ding vom netzwerk, und schaust dir in ruhe die pdf 
datei an.

danach weißt du, was in der datei drinnen steht und kannst kannst 
beruhigt die sd-karte platt machen/weg werfen/zerstören/was auch immer, 
ohne dass du deinen computer in gefahr gebracht hättest/hast

Daniel F. schrieb:
> schnapp dir einen raspi, installier die ein raspbian, kopier die
> pdf-datei drauf.
> jetzt trennst du das ding vom netzwerk, und schaust dir in ruhe die pdf
> datei an.
Könnte man auch mit einer Linux-CD machen, die LibreOffice drauf hat.

Rbx schrieb:
> Könnte man auch mit einer Linux-CD machen, die LibreOffice drauf hat.

ich dann halt die gleiche Hardware. mit meinem Vorschlag ist das ganze 
komplett getrennt...

Google nach "SECnvtToPDF V1.0"
Google nach "OKI ES7170 MFP"

https://www.pbs-business.de/news/lieferanten/22-06-2012-oki-data-und-toshiba-tec-kooperieren/

Aber kann man mit einer Malware natürlich alles nachbilden wie man will!

Moriz schrieb:
> Mit etwas Überlegung kann man also schon mit einfachsten Mitteln solche
> Ungereimtheiten erkennen, sofern man kein Brett vorm Kopf hat. Dass die
> Schlauköpfe hier das alles in Bausch und Bogen als Unsinn abtun mussten,
> das schuldeten sie schon dem schlechten Ruf des Forums.

Sorry Moriz - damit hast du dich endgültig als Troll geoutet. Wer mit 
solch einer Einstellung, solch einem absolut Schwachsinnigen Thread, 
solch einer Schwachsinnigen Erkenntnis (UTC+1) hier meldet - der ist 
ausschließlich auf Stunk aus.

Wer bitte schön hat denn von einem "guten Bekannten" die Mail Adresse 
aber keine Handynummer?! Wer bitte schön

Wer bitte schön fragt etwas in einem Forum von dem er selbst denkt es 
habe einen schlechten Ruf?



Moriz schrieb:
> /Creator (OKI ES7170 MFP)

Und was sagt dir das dann? Genau, das ist ein gescanntes Bild / Text - 
was auch den UTC+1 erklärt. Des Druckers interne Uhr welche auf UTC+1 
steht - ob dort nun die richtige Uhrzeit läuft oder nicht.

Du bist ein einzigster Troll! Mehr nicht.


Michael L. schrieb:
>> Zeige uns doch mal die Datei, lass uns rein gucken!
>
> Was willst Du damit? Geht Dich auch gar nix an. Was, wenn das ein
> fehlgeleitetes Firmendokument wäre?

Quark, der Profi hat doch schon rausgefunden das die Datei nicht von 
seinem Kumpel kommt (von dem er nichtmal ne Telefonnummer hat) sondern 
von einem H4ck0r, deswegen kann er die Datei auch hier reinstellen - 
kann ja nichts wichtiges sein... sagt er. ;-)

Monk schrieb:
> Du hältst dich für super schlau, aber dass ich damit das abweichende
> Datum erklärt habe, hast du nicht begriffen.

Jetzt fantasierst du auch noch ein abweichendes Datum dazu…

Datum und Uhrzeit in der pdf passen perfekt, nur die Zeitzone passt 
nicht.

> Zeige uns doch mal die Datei, lass uns rein gucken!

Witzbold, wie soll das gehen? Soll ich Malware hier hochladen?

Rene K. schrieb:
> Sorry Moriz - damit hast du dich endgültig als Troll geoutet. Wer mit
> solch einer Einstellung, solch einem absolut Schwachsinnigen Thread,
> solch einer Schwachsinnigen Erkenntnis (UTC+1) hier meldet - der ist
> ausschließlich auf Stunk aus.

Fass dich lieber an der eigenen Nase

> Wer bitte schön hat denn von einem "guten Bekannten" die Mail Adresse

Der "gute Bekannte" ist auf deinem Mist gewachsen. Mit der Person hatte 
ich Mailkontakt über eine private Mailing Liste und folglich keine 
weiteren Kontaktdaten. Über die "Güte" der Beziehung hatte ich mich mit 
keinem Wort geäußert.

> Wer bitte schön fragt etwas in einem Forum von dem er selbst denkt es
> habe einen schlechten Ruf?

Nun, den schlechten Ruf hast du ja eben bestätigt mit deinen 
Unverschämtheiten und Unterstellungen.

> Du bist ein einzigster Troll! Mehr nicht.

Lern erst mal richtig Deutsch, Troll…

Wenn du sicher bist, dass die Datei Malware ist, warum löschst du sie
dann nicht einfach?

Machst du bei jedem E-Mail-Anhang mit verdächtiger Herkunft den gleichen
Heckmeck?

Moriz schrieb:
> Witzbold, wie soll das gehen? Soll ich Malware hier hochladen?

Welche Malware? Bis jetzt handelt es sich nur um ein unbekanntes PDF.

Alexander schrieb:
> Moriz schrieb:
>> Witzbold, wie soll das gehen? Soll ich Malware hier hochladen?
>
> Welche Malware? Bis jetzt handelt es sich nur um ein unbekanntes PDF.

Trotzdem muß man's nicht hochladen. Möglicherweise hat da jemand mit 
seinem MFP was eingescant und irrtümlich an die falsche Emailadresse 
versand. Vielleicht ist's ihm gar nicht mal bewußt, daß und wem er das 
geschickt hat. Kommt vor, schlägt hier mitunter auch auf. Da stehen dann 
durchaus mal persönliche/firmeninterne Sachen drin, die man nicht in 
einem Forum veröffentlich sehen will.

Und das die Uhrzeit von Computerperipherie arg von der Kompetenz des 
Administrierenden abhängt, ist auch nix neues.

Es ist das Bild einer typisch hingerotzten Malware-Mail: Kein Betreff, 
kein Text, nur ein riesen Anhang.

Wenn ich sowas von irgendwoher bekomme, ist mir das egal. Der 
Bekanntenkreis – auch der weitere – ist was andesres. Da versuche ich 
schon den potentiellen Schaden zu begrenzen.

Was mir allerdings zu denken gibt: VirusTotal finden so gut wie nie 
irgendwas in solchen Anhängen. Man kann sich darauf nicht verlassen.

Michael L. schrieb:
> Und das die Uhrzeit von Computerperipherie arg von der Kompetenz des
> Administrierenden abhängt, ist auch nix neues.

Das halte ich für ein Gerücht. Wo ist im Moment UTC+1 gültig?
Bei den gängigen Betriebssystemen geht die Umschaltung von Winter- auf 
Sommerzeit automatisch – da gibts nichts zu administrieren.

Moriz schrieb:
> Es ist das Bild einer typisch hingerotzten Malware-Mail: Kein Betreff,
> kein Text, nur ein riesen Anhang.

Genau sowas ist typisch, wenn man ein Dokument am MFP einscannt und das 
dann default mehr oder weniger automagisch als PDF-Anhang in die Welt 
raus geht. Ist ja auch so einfach, den Menüpunkt Betreff am MFP zu 
übergehen, sofern es den überhaupt gibt.

>> Und das die Uhrzeit von Computerperipherie arg von der Kompetenz des
>> Administrierenden abhängt, ist auch nix neues.
>
> Das halte ich für ein Gerücht. Wo ist im Moment UTC+1 gültig?

Uninteressant. Hängt von der Einstellung am Gerät ab.

> Bei den gängigen Betriebssystemen geht die Umschaltung von Winter- auf
> Sommerzeit automatisch – da gibts nichts zu administrieren.

Erzähl das mal Druckern und MFPs. Da gibt's durchaus Netzwerkgeräte, da 
stellt man bei der Erstinstallation manuell die Uhrzeit ein und das 
war's dann. Das man das Gerät darauf einstellen könnte, daß das sich die 
Zeit aus dem Netz zieht, wissen viele halt nicht.

Achja, Libreoffice unter Debian oldstable macht auch lustige Dinge beim 
Export nach PDF:

Erstellt:     Fr 27 Sep 2024 19:32:10 UTC

Bearbeitet:   Mi 31 Dez 1969 23:59:59 UTC

Auf die naheliegenste Lösung, das PDF einfach auf eine der zahlreichen 
online-pdf-viewer webseiten hochzuladen kommt hier anscheinend niemand.

Könnte ja eine Bombenbauanleitung sein oder schlimmer.

Mist, ich sehe gerade, dass jemand die Kopierer/Scanner meines
Arbeitgebers gehackt hat. Hier ist der Beweis anhand eines Beispiels:

1

CreationDate: D:20240725******+01'00'

2

                              ^^^

3

                            MALWARE

Wie konnte ich das nur übersehen :-/

Auch die Vorgängermodelle waren schon verseucht, wie ich an älteren PDFs
erkennen konnte. Die Malware steckt somit nun schon seit vielen Jahren
in den Geräten, und keiner hat's gemerkt, obwohl es so offensichtlich
ist.

Moriz schrieb:
> kein Text, nur ein riesen Anhang.

Ja, genau, so auch hier. Da scheint derselbe Hacker am Werk gewesen zu
sein.

Ich werde am Montagmorgen gleich zur IT rennen und veranlassen, dass
sämtliche Kopierer, die PCs aller Mitarbeiter, die E-Mails von den
Kopieren empfangen haben, und natürlich alle File- und Mailserver
geschreddert und durch neue ersetzt werden.

Moriz schrieb:
> Es ist das Bild einer typisch hingerotzten Malware-Mail: Kein Betreff,
> kein Text, nur ein riesen Anhang.

Wird gerne gemacht, um Spamfilter zu umgehen.

Moriz schrieb:
> Was mir allerdings zu denken gibt: VirusTotal finden so gut wie nie
> irgendwas in solchen Anhängen. Man kann sich darauf nicht verlassen.

Was sollten die da finden? Technisch ist das PDF nicht gefährlich.

Moriz schrieb:
> Das halte ich für ein Gerücht. Wo ist im Moment UTC+1 gültig?

Beispielsweise in UK oder auf den Kanaren.

Einige Geräte behandeln auch Zeitzone und DST-Offset getrennt, da 
stellst Du in unserem Fall UTC+1 und die passenden Sommerzeitregeln ein.

Moriz schrieb:
> Bei den gängigen Betriebssystemen geht die Umschaltung von Winter- auf
> Sommerzeit automatisch – da gibts nichts zu administrieren.

Es gibt auch Multifunktionsdrucker, die zwar NTP und Zeitzonen 
beherrschen, aber nur einmal beim Booten die Uhrzeit (mitsamt 
DST-Offset) setzen und sich bis zum nächsten Power Cycle nicht mehr 
dafür interessieren.