Список программ, в которых создаются вредоносные PDF Таргетированные атаки типа APT зачастую начинаются с рассылки вредоносных файлов по электронной почте, чтобы «подцепить» жертву, а уже затем с её компьютера продолжить вредоносную активность в локальной сети. Участники хакерских курсов Rapid Reverse Engineering провели исследование, в каких программах создаются эти PDF-файлы. Студенты разработали скрипт Python для автоматического извлечения метаданных из файлов, хранящихся в базе образцов. Всего в базе было более 300 образцов APT-атак. Анализ файлов дал следующие результаты, вот десятка самых популярных программ. Acrobat Web Capture 8.0 (15%) Adobe LiveCycle Designer ES 8.2 (15%) Acrobat Web Capture 9.0 (8%) Python PDF Library - http://pybrary.net/pyPdf/ (7%) Acrobat Distiller 9.0.0 (Windows) (7%) Acrobat Distiller 6.0.1 (Windows) (7%) pdfeTeX-1.21a (7%) Adobe Acrobat 9.2.0 (4%) Adobe PDF Library 9.0 (4%) Кроме них, встречаются и такие артефакты (они не вошли в топ-10). Advanced PDF Repair (http://www.pdf-repair.com) Acrobat Web Capture 6.0 doPDF Ver 6.2 Build 288 (Windows XP x32) alientools PDF Generator 1.52 PDFlib 7.0.3 (C++/Win32) Всё это очень странно. Похоже, злоумышленники используют совершенно разный софт, в том числе устаревшие версии программ, и даже не пытаются стереть метаданные. Теоретически, можно даже сделать систему раннего обнаружения атак APT по метаданным во входящих PDF-файлах. 21.03.2013 http://www.xakep.ru/post/60312/ http://carnal0wnage.attackresearch.com/2013/03/apt-pdfs-and-metadata-extraction.html