Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Genel Güvenlik > Adli Bilişim

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.





PDF Malware Analizi

Adli Bilişim

Yeni Konu aç Cevapla
 
Seçenekler
Alt 3 Hafta önce   #1
  • Underground Tim
  • Üye Bilgileri
Üyelik tarihi
04/2019
Mesajlar
Konular

Teşekkür (Etti): 9
Teşekkür (Aldı): 68


Exclamation PDF Malware Analizi



Herkese tekrardan merhaba. Bu yazıda peepdf aracını kullanarak pdf'lerdeki bir zararlı yazılımı nasıl analiz ederiz onu görelim.

Peepdf aracı pdf dosyalarını analiz etmek için oldukça basit ve kullanışlı bir araçtır. Pdf hakkında birçok bilgiyi elde etmemize yardımcı olur bunun yanında üzerinde de farklı işlemler yapabilmemizi sağlar. Bilindiği gibi yazılımlarda bulunun Buffer Overflow açıkları nedeni ile içerisine ShellCode yerleştirilmiş dosyalar oluşturulmakta ve sosyal mühendislik saldırılarında kullanılmaktadır. Özellikle Office ve Adobe Reader yazılımlarında oldukça sık görülmektedir.



Örnek olarak ****sploit aracı ile, Adobe Reader yazılımının 8.1.2 versiyonundan kaynaklanan bir Buffer Overflow açığından yararlanarak bir pdf dosyası oluşturduk. Bu dosyanın içerisinde ShellCode eklendi ve karşı taraf eğer Adobe Reader yazılımının açıklı versiyonunu kullanıyor ise ve bu dosyayı o yazılımla açar ise saldırgan hedefine ulaşıp bilgisayarı ele geçirebilir. Elbette bu açık eski sürümlerde bulunmaktadır, ama yeni sürümlerde de çeşitli yöntemlerle içerisine zararlı kodlar eklenebiliyor. Amacım burada exploit falan değil sadece bu açığı kullanarak oluşturulan bir pdf için analiz. Lafı uzatmadan Peepdf ile analiz yapmaya başlayabiliriz.



Konsola
Kod:
Peepdf
yazarak parametreleri görebilirsiniz. En kullanışları olan parametreler -x ve -i parametreleri. Şimdi bunlara bi bakalım



Konsola
Kod:
peepdf -x /root/Desktop/msf.pdf
yazarak analiz edeceğimiz pdf dosyasının bazı bilgilerini xml formatından konsola döktürk. Görüldüğü gibi md5, sha1 ve sha256 hash bilgileri, boyutu, pdf versiyonu gibi bilgiler yer alıyor.



Biraz daha aşağı kısımlara indiğimizde daha farklı şeyler görmekteyiz. Görüldüğü gibi objects kısmından inceleyeceğimiz 6 kısım mevcut. Genel itibariyle en önemlisi en sonuncusudur.



Konsola
Kod:
peepdf -i /root/Desktop/msf.pdf
yazarak, -i parametresi ile konsol üzerinden yine dosyamızı açtık. Yine ilk açıldığında standart xml formatından bilgileri görüyoruz.



object 5 yazarak 5 numaralı bölgeyi kontrol ettik ama bir şey bulamadık görüldüğü gibi /JS 6 bölümüne giriş yapmamız gerektiğini söylermiş gibi bir yazı bulunmakta.
Hemen 6. bölüme giriş yapalım.



Pdf dosyalarından zaten çoğunlukla objeler az olmaktadır. Teker teker içlerine girerek neler olup bittiğini görebilirsiniz. Elbette içerisinde sadece analiz için kullanılan fonksiyonlar bulunmamakta. Encode, Decode, arama gibi bir çok fonksiyon bulunmakta.



info 6 yazarak bazı bilgilerini görüntüledik. Hash, filtre gibi bilgiler gözümüze çarpıyor. Flate ve ASCII-Hex gibi şifrelemelerin olduğu görülmekte

Aynı zamanda
Kod:
js_analyse
fonksiyonu ile de kontrol edebilirsiniz.
Kod:
js_analyse object 6
şeklinde girip yine javascript kontolü yapabilirsiniz ve buradana daha farklı bilgiler elde edebilirsiniz. Javascript bilginiz var ise daha farklı işlemler gerçekleştirerek farklı bilgilere de ulaşabilirsiniz.

Bu şekilde peepdf aracını kullanarak basit bir şekilde pdf analizlerinizi yapabilirsiniz.
Buraya kadar okuyan herkese teşekkür ederim.



___________________________________________

Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
 Offline  
 
Alıntı ile Cevapla
Teşekkür

TuranAlemdar Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau