THT DUYURU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adli bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

takipci
chat
Seçenekler

PDF Malware Analizi

RTFM - ait Kullanıcı Resmi (Avatar)
Attack Master
Üyelik tarihi:
04/2019
Mesajlar:
172
Konular:
43
Teşekkür (Etti):
128
Teşekkür (Aldı):
225
Ticaret:
(0) %
03-05-2019 12:59
#1
Exclamation
PDF Malware Analizi
Herkese tekrardan merhaba. Bu yazıda peepdf aracını kullanarak pdf'lerdeki bir zararlı yazılımı nasıl analiz ederiz onu görelim.

Peepdf aracı pdf dosyalarını analiz etmek için oldukça basit ve kullanışlı bir araçtır. Pdf hakkında birçok bilgiyi elde etmemize yardımcı olur bunun yanında üzerinde de farklı işlemler yapabilmemizi sağlar. Bilindiği gibi yazılımlarda bulunun Buffer Overflow açıkları nedeni ile içerisine ShellCode yerleştirilmiş dosyalar oluşturulmakta ve sosyal mühendislik saldırılarında kullanılmaktadır. Özellikle Office ve Adobe Reader yazılımlarında oldukça sık görülmektedir.



Örnek olarak ****sploit aracı ile, Adobe Reader yazılımının 8.1.2 versiyonundan kaynaklanan bir Buffer Overflow açığından yararlanarak bir pdf dosyası oluşturduk. Bu dosyanın içerisinde ShellCode eklendi ve karşı taraf eğer Adobe Reader yazılımının açıklı versiyonunu kullanıyor ise ve bu dosyayı o yazılımla açar ise saldırgan hedefine ulaşıp bilgisayarı ele geçirebilir. Elbette bu açık eski sürümlerde bulunmaktadır, ama yeni sürümlerde de çeşitli yöntemlerle içerisine zararlı kodlar eklenebiliyor. Amacım burada exploit falan değil sadece bu açığı kullanarak oluşturulan bir pdf için analiz. Lafı uzatmadan Peepdf ile analiz yapmaya başlayabiliriz.



Konsola
Kod:
Peepdf
yazarak parametreleri görebilirsiniz. En kullanışları olan parametreler -x ve -i parametreleri. Şimdi bunlara bi bakalım



Konsola
Kod:
peepdf -x /root/Desktop/msf.pdf
yazarak analiz edeceğimiz pdf dosyasının bazı bilgilerini xml formatından konsola döktürk. Görüldüğü gibi md5, sha1 ve sha256 hash bilgileri, boyutu, pdf versiyonu gibi bilgiler yer alıyor.



Biraz daha aşağı kısımlara indiğimizde daha farklı şeyler görmekteyiz. Görüldüğü gibi objects kısmından inceleyeceğimiz 6 kısım mevcut. Genel itibariyle en önemlisi en sonuncusudur.



Konsola
Kod:
peepdf -i /root/Desktop/msf.pdf
yazarak, -i parametresi ile konsol üzerinden yine dosyamızı açtık. Yine ilk açıldığında standart xml formatından bilgileri görüyoruz.



object 5 yazarak 5 numaralı bölgeyi kontrol ettik ama bir şey bulamadık görüldüğü gibi /JS 6 bölümüne giriş yapmamız gerektiğini söylermiş gibi bir yazı bulunmakta.
Hemen 6. bölüme giriş yapalım.



Pdf dosyalarından zaten çoğunlukla objeler az olmaktadır. Teker teker içlerine girerek neler olup bittiğini görebilirsiniz. Elbette içerisinde sadece analiz için kullanılan fonksiyonlar bulunmamakta. Encode, Decode, arama gibi bir çok fonksiyon bulunmakta.



info 6 yazarak bazı bilgilerini görüntüledik. Hash, filtre gibi bilgiler gözümüze çarpıyor. Flate ve ASCII-Hex gibi şifrelemelerin olduğu görülmekte

Aynı zamanda
Kod:
js_analyse
fonksiyonu ile de kontrol edebilirsiniz.
Kod:
js_analyse object 6
şeklinde girip yine javascript kontolü yapabilirsiniz ve buradana daha farklı bilgiler elde edebilirsiniz. Javascript bilginiz var ise daha farklı işlemler gerçekleştirerek farklı bilgilere de ulaşabilirsiniz.

Bu şekilde peepdf aracını kullanarak basit bir şekilde pdf analizlerinizi yapabilirsiniz.
Buraya kadar okuyan herkese teşekkür ederim.
---------------------
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
CiHaN-i TuRaN Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler