- 22 Nis 2019
- 174
- 8
Herkese tekrardan merhaba. Bu yazıda peepdf aracını kullanarak pdf'lerdeki bir zararlı yazılımı nasıl analiz ederiz onu görelim.
Peepdf aracı pdf dosyalarını analiz etmek için oldukça basit ve kullanışlı bir araçtır. Pdf hakkında birçok bilgiyi elde etmemize yardımcı olur bunun yanında üzerinde de farklı işlemler yapabilmemizi sağlar. Bilindiği gibi yazılımlarda bulunun Buffer Overflow açıkları nedeni ile içerisine ShellCode yerleştirilmiş dosyalar oluşturulmakta ve sosyal mühendislik saldırılarında kullanılmaktadır. Özellikle Office ve Adobe Reader yazılımlarında oldukça sık görülmektedir.
Örnek olarak ****sploit aracı ile, Adobe Reader yazılımının 8.1.2 versiyonundan kaynaklanan bir Buffer Overflow açığından yararlanarak bir pdf dosyası oluşturduk. Bu dosyanın içerisinde ShellCode eklendi ve karşı taraf eğer Adobe Reader yazılımının açıklı versiyonunu kullanıyor ise ve bu dosyayı o yazılımla açar ise saldırgan hedefine ulaşıp bilgisayarı ele geçirebilir. Elbette bu açık eski sürümlerde bulunmaktadır, ama yeni sürümlerde de çeşitli yöntemlerle içerisine zararlı kodlar eklenebiliyor. Amacım burada exploit falan değil sadece bu açığı kullanarak oluşturulan bir pdf için analiz. Lafı uzatmadan Peepdf ile analiz yapmaya başlayabiliriz.
Konsola
yazarak parametreleri görebilirsiniz. En kullanışları olan parametreler -x ve -i parametreleri. Şimdi bunlara bi bakalım
Konsola
yazarak analiz edeceğimiz pdf dosyasının bazı bilgilerini xml formatından konsola döktürk. Görüldüğü gibi md5, sha1 ve sha256 hash bilgileri, boyutu, pdf versiyonu gibi bilgiler yer alıyor.
Biraz daha aşağı kısımlara indiğimizde daha farklı şeyler görmekteyiz. Görüldüğü gibi objects kısmından inceleyeceğimiz 6 kısım mevcut. Genel itibariyle en önemlisi en sonuncusudur.
Konsola
yazarak, -i parametresi ile konsol üzerinden yine dosyamızı açtık. Yine ilk açıldığında standart xml formatından bilgileri görüyoruz.
object 5 yazarak 5 numaralı bölgeyi kontrol ettik ama bir şey bulamadık görüldüğü gibi /JS 6 bölümüne giriş yapmamız gerektiğini söylermiş gibi bir yazı bulunmakta.
Hemen 6. bölüme giriş yapalım.
Pdf dosyalarından zaten çoğunlukla objeler az olmaktadır. Teker teker içlerine girerek neler olup bittiğini görebilirsiniz. Elbette içerisinde sadece analiz için kullanılan fonksiyonlar bulunmamakta. Encode, Decode, arama gibi bir çok fonksiyon bulunmakta.
info 6 yazarak bazı bilgilerini görüntüledik. Hash, filtre gibi bilgiler gözümüze çarpıyor. Flate ve ASCII-Hex gibi şifrelemelerin olduğu görülmekte
Aynı zamanda
fonksiyonu ile de kontrol edebilirsiniz.
şeklinde girip yine javascript kontolü yapabilirsiniz ve buradana daha farklı bilgiler elde edebilirsiniz. Javascript bilginiz var ise daha farklı işlemler gerçekleştirerek farklı bilgilere de ulaşabilirsiniz.
Bu şekilde peepdf aracını kullanarak basit bir şekilde pdf analizlerinizi yapabilirsiniz.
Buraya kadar okuyan herkese teşekkür ederim.
Peepdf aracı pdf dosyalarını analiz etmek için oldukça basit ve kullanışlı bir araçtır. Pdf hakkında birçok bilgiyi elde etmemize yardımcı olur bunun yanında üzerinde de farklı işlemler yapabilmemizi sağlar. Bilindiği gibi yazılımlarda bulunun Buffer Overflow açıkları nedeni ile içerisine ShellCode yerleştirilmiş dosyalar oluşturulmakta ve sosyal mühendislik saldırılarında kullanılmaktadır. Özellikle Office ve Adobe Reader yazılımlarında oldukça sık görülmektedir.
Örnek olarak ****sploit aracı ile, Adobe Reader yazılımının 8.1.2 versiyonundan kaynaklanan bir Buffer Overflow açığından yararlanarak bir pdf dosyası oluşturduk. Bu dosyanın içerisinde ShellCode eklendi ve karşı taraf eğer Adobe Reader yazılımının açıklı versiyonunu kullanıyor ise ve bu dosyayı o yazılımla açar ise saldırgan hedefine ulaşıp bilgisayarı ele geçirebilir. Elbette bu açık eski sürümlerde bulunmaktadır, ama yeni sürümlerde de çeşitli yöntemlerle içerisine zararlı kodlar eklenebiliyor. Amacım burada exploit falan değil sadece bu açığı kullanarak oluşturulan bir pdf için analiz. Lafı uzatmadan Peepdf ile analiz yapmaya başlayabiliriz.
Konsola
Kod:
PeepdfKonsola
Kod:
peepdf -x /root/Desktop/msf.pdfBiraz daha aşağı kısımlara indiğimizde daha farklı şeyler görmekteyiz. Görüldüğü gibi objects kısmından inceleyeceğimiz 6 kısım mevcut. Genel itibariyle en önemlisi en sonuncusudur.
Konsola
Kod:
peepdf -i /root/Desktop/msf.pdfobject 5 yazarak 5 numaralı bölgeyi kontrol ettik ama bir şey bulamadık görüldüğü gibi /JS 6 bölümüne giriş yapmamız gerektiğini söylermiş gibi bir yazı bulunmakta.
Hemen 6. bölüme giriş yapalım.
Pdf dosyalarından zaten çoğunlukla objeler az olmaktadır. Teker teker içlerine girerek neler olup bittiğini görebilirsiniz. Elbette içerisinde sadece analiz için kullanılan fonksiyonlar bulunmamakta. Encode, Decode, arama gibi bir çok fonksiyon bulunmakta.
info 6 yazarak bazı bilgilerini görüntüledik. Hash, filtre gibi bilgiler gözümüze çarpıyor. Flate ve ASCII-Hex gibi şifrelemelerin olduğu görülmekte
Aynı zamanda
Kod:
js_analyse
Kod:
js_analyse object 6Bu şekilde peepdf aracını kullanarak basit bir şekilde pdf analizlerinizi yapabilirsiniz.
Buraya kadar okuyan herkese teşekkür ederim.
