Che cos'è?
PDF Malware Slayer (noto semplicemente come Slayer) è un tool per la rilevazione di files PDF maligni basato sull'analisi della loro struttura.
Perché è stato sviluppato?
Un file PDF può contenere al suo interno diversi contenuti (es. immagini, codice Javascript, animazioni Flash o addirittura altri files PDF...), che negli ultimi anni sono stati utilizzati per mettere in pericolo la sicurezza dei moderni computers. Data la loro estrema varietà, è molto difficile creare un'unica soluzione capace di individuare tutti i diversi tipi di attacco. Gli stessi Antivirus hanno molti problemi a difendere gli utenti da questi attacchi. Una possibile soluzione del problema è data dall'analisi della struttura del file PDF (analizzare, quindi, il "contenitore" e non il contenuto): la ricerca ha mostrato che ci sono evidenti differenze nella struttura dei files PDF benigni e maligni.
Il PRA Lab è stato il primo a scoprire e studiare questo aspetto, che è stato poi ulteriormente analizzato ed esteso da altri autori in importanti conferenze di sicurezza.
Come funziona?
Slayer implementa un potente algoritmo che estrae informazioni dalla struttura dei files PDF e con cui è possibile individuare una vasta gamma di attacchi (inclusi quelli recenti e quelli non ancora individuati dagli Antivirus). Questo algoritmo sfrutta tecniche di Machine Learning (una branca dell'intelligenza artificiale), con cui è possibile "insegnare" ad un sistema come distinguere fra due (o più) oggetti. Il sistema impara attraverso l'osservazione di "esempi", in un modo simile a quello degli esseri umani.
Download
