analysis malware dengan cuckoo.pdf
TRANSCRIPT
rootpuspita
ANALYSIS MANUAL DAN ANALISIS DENGAN CUKOO
FRAMEWORK TERHADAP MALWARE EKSTENSI FILE
PORTABLE DOCUMENT FILE
Network simulating
INTERNET
KALI LINUXMACHINE
192168150
WINDOWSXPVM
192168561
192168561020
Vbox host only adapter(vboxnet0)19216856024
Install python dan dependensi
rootpuspitaapt-get install python untuk python
rootpuspitaapt-get install python-magic mengidentifikasi format file
rootpuspitaapt-get install python-dpkt untuk ekstrak ke pcap
rootpuspitaapt-get install python-mako untuk menampilkan ke bentuk web gui
rootpuspitaapt-get install python-sqlalchemy
rootpuspitaapt-get install python-jinja2 untuk unilitas webpy
rootpuspitaapt-get install python-bottle untuk utilitas webpy
Install ssdeep untuk membaca hash
rootpuspitaapt-get install ssdeep
rootpuspitaapt-get install python-pyrex
rootpuspitaapt-get install subversion
rootpuspitaapt-get install libfuzzy-dev
rootpuspitasvn checkout httppyssdeepgooglecodecomsvntrunk pyssdeep
rootpuspitacd pyssdeep
rootpuspita~pyssdeeppython setuppy build
rootpuspita~pyssdeeppython setuppy install
Install mongodbpostgresqlmysql
rootpuspitaapt-get install python-pymongo
rootpuspitaapt-get install mongodb
Install Yara
rootpuspitaapt-get install g++
rootpuspitaapt-get install libpcre3 libpcre3-dev
rootpuspitawget httpyara-projectgooglecodecomfilesyara-16targz
rootpuspitatar -zxvf yara-16targz
rootpuspitacd yara-16
rootpuspita~yara-16 configure ampamp make ampamp make check ampamp make install
rootpuspitawget httpyara-projectgooglecodecomfilesyara-python-16targz
rootpuspitatar -zxvf yara-python-16targz
rootpuspitacd yara-python-16
rootpuspita~yara-pytohon-16python setuppy build
rootpuspita~yara-python-16python setuppy install
Install Cuckoo
rootpuspitaapt-get install git
rootpuspitagit clone gitgithubcomcuckooboxcuckoogit
Install virtualbox for windows xp
Saya gunakan windows xp sp3 untuk analisis malware
Kebutuhan
Windows xp sp3iso
Vboxguestaddiotionaliso
Wireshark-32exe
Python-27msi
Adobe rederexe
Office2007
Setting untuk windows share folder (untuk sebelumnya kita harus install
vboxguesadditional terlebih dahulu setelah install windows xp )
Setting dan configurasi Cuckoo untuk mesin analisisnya
rootpuspitacd cuckoo
rootpuspita~cuckoocd conf
rootpuspita~cuckooconfnano auxiliaryconf
Pastikan tcpdump tedapat di usrsbintcpdump dengan cara mengecek
rootpuspitalocate tcpdump
rootpuspita~cuckooconf nano cuckooconf
Pastikan ip addressnya sama dengan mesin server atau pclaptop sesungguhnya dapat
dicek di
rootpuspitaifconfig vboxnet0
Machine = windowxp[nama mesin virtual]
Lable = windowxp
Platform= windowxp
Ip = mesin virtual
Kalu kita mulai menjalankan mesin cuckoo framework dan kita bisa dapat hasil dari ini
Kita jalankan mesin
rootpuspita~cuckoopython cuckoopy
rootpuspita~cuckooutilspython submitpy
rootVirtualBoxVMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011
_10982_files0a7856cb98995c14baf8a4a684b1773c84815d4f
Hasil screen shootnya
Seteh itu kita lihat apakah di cuckoo juga berhasil
Dah complet hasil kita sekarang buka versi web Cuckoo framework ini berjalan di port
8080
Contoh localhost8080
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Install python dan dependensi
rootpuspitaapt-get install python untuk python
rootpuspitaapt-get install python-magic mengidentifikasi format file
rootpuspitaapt-get install python-dpkt untuk ekstrak ke pcap
rootpuspitaapt-get install python-mako untuk menampilkan ke bentuk web gui
rootpuspitaapt-get install python-sqlalchemy
rootpuspitaapt-get install python-jinja2 untuk unilitas webpy
rootpuspitaapt-get install python-bottle untuk utilitas webpy
Install ssdeep untuk membaca hash
rootpuspitaapt-get install ssdeep
rootpuspitaapt-get install python-pyrex
rootpuspitaapt-get install subversion
rootpuspitaapt-get install libfuzzy-dev
rootpuspitasvn checkout httppyssdeepgooglecodecomsvntrunk pyssdeep
rootpuspitacd pyssdeep
rootpuspita~pyssdeeppython setuppy build
rootpuspita~pyssdeeppython setuppy install
Install mongodbpostgresqlmysql
rootpuspitaapt-get install python-pymongo
rootpuspitaapt-get install mongodb
Install Yara
rootpuspitaapt-get install g++
rootpuspitaapt-get install libpcre3 libpcre3-dev
rootpuspitawget httpyara-projectgooglecodecomfilesyara-16targz
rootpuspitatar -zxvf yara-16targz
rootpuspitacd yara-16
rootpuspita~yara-16 configure ampamp make ampamp make check ampamp make install
rootpuspitawget httpyara-projectgooglecodecomfilesyara-python-16targz
rootpuspitatar -zxvf yara-python-16targz
rootpuspitacd yara-python-16
rootpuspita~yara-pytohon-16python setuppy build
rootpuspita~yara-python-16python setuppy install
Install Cuckoo
rootpuspitaapt-get install git
rootpuspitagit clone gitgithubcomcuckooboxcuckoogit
Install virtualbox for windows xp
Saya gunakan windows xp sp3 untuk analisis malware
Kebutuhan
Windows xp sp3iso
Vboxguestaddiotionaliso
Wireshark-32exe
Python-27msi
Adobe rederexe
Office2007
Setting untuk windows share folder (untuk sebelumnya kita harus install
vboxguesadditional terlebih dahulu setelah install windows xp )
Setting dan configurasi Cuckoo untuk mesin analisisnya
rootpuspitacd cuckoo
rootpuspita~cuckoocd conf
rootpuspita~cuckooconfnano auxiliaryconf
Pastikan tcpdump tedapat di usrsbintcpdump dengan cara mengecek
rootpuspitalocate tcpdump
rootpuspita~cuckooconf nano cuckooconf
Pastikan ip addressnya sama dengan mesin server atau pclaptop sesungguhnya dapat
dicek di
rootpuspitaifconfig vboxnet0
Machine = windowxp[nama mesin virtual]
Lable = windowxp
Platform= windowxp
Ip = mesin virtual
Kalu kita mulai menjalankan mesin cuckoo framework dan kita bisa dapat hasil dari ini
Kita jalankan mesin
rootpuspita~cuckoopython cuckoopy
rootpuspita~cuckooutilspython submitpy
rootVirtualBoxVMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011
_10982_files0a7856cb98995c14baf8a4a684b1773c84815d4f
Hasil screen shootnya
Seteh itu kita lihat apakah di cuckoo juga berhasil
Dah complet hasil kita sekarang buka versi web Cuckoo framework ini berjalan di port
8080
Contoh localhost8080
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
rootpuspitatar -zxvf yara-16targz
rootpuspitacd yara-16
rootpuspita~yara-16 configure ampamp make ampamp make check ampamp make install
rootpuspitawget httpyara-projectgooglecodecomfilesyara-python-16targz
rootpuspitatar -zxvf yara-python-16targz
rootpuspitacd yara-python-16
rootpuspita~yara-pytohon-16python setuppy build
rootpuspita~yara-python-16python setuppy install
Install Cuckoo
rootpuspitaapt-get install git
rootpuspitagit clone gitgithubcomcuckooboxcuckoogit
Install virtualbox for windows xp
Saya gunakan windows xp sp3 untuk analisis malware
Kebutuhan
Windows xp sp3iso
Vboxguestaddiotionaliso
Wireshark-32exe
Python-27msi
Adobe rederexe
Office2007
Setting untuk windows share folder (untuk sebelumnya kita harus install
vboxguesadditional terlebih dahulu setelah install windows xp )
Setting dan configurasi Cuckoo untuk mesin analisisnya
rootpuspitacd cuckoo
rootpuspita~cuckoocd conf
rootpuspita~cuckooconfnano auxiliaryconf
Pastikan tcpdump tedapat di usrsbintcpdump dengan cara mengecek
rootpuspitalocate tcpdump
rootpuspita~cuckooconf nano cuckooconf
Pastikan ip addressnya sama dengan mesin server atau pclaptop sesungguhnya dapat
dicek di
rootpuspitaifconfig vboxnet0
Machine = windowxp[nama mesin virtual]
Lable = windowxp
Platform= windowxp
Ip = mesin virtual
Kalu kita mulai menjalankan mesin cuckoo framework dan kita bisa dapat hasil dari ini
Kita jalankan mesin
rootpuspita~cuckoopython cuckoopy
rootpuspita~cuckooutilspython submitpy
rootVirtualBoxVMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011
_10982_files0a7856cb98995c14baf8a4a684b1773c84815d4f
Hasil screen shootnya
Seteh itu kita lihat apakah di cuckoo juga berhasil
Dah complet hasil kita sekarang buka versi web Cuckoo framework ini berjalan di port
8080
Contoh localhost8080
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Pastikan tcpdump tedapat di usrsbintcpdump dengan cara mengecek
rootpuspitalocate tcpdump
rootpuspita~cuckooconf nano cuckooconf
Pastikan ip addressnya sama dengan mesin server atau pclaptop sesungguhnya dapat
dicek di
rootpuspitaifconfig vboxnet0
Machine = windowxp[nama mesin virtual]
Lable = windowxp
Platform= windowxp
Ip = mesin virtual
Kalu kita mulai menjalankan mesin cuckoo framework dan kita bisa dapat hasil dari ini
Kita jalankan mesin
rootpuspita~cuckoopython cuckoopy
rootpuspita~cuckooutilspython submitpy
rootVirtualBoxVMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011
_10982_files0a7856cb98995c14baf8a4a684b1773c84815d4f
Hasil screen shootnya
Seteh itu kita lihat apakah di cuckoo juga berhasil
Dah complet hasil kita sekarang buka versi web Cuckoo framework ini berjalan di port
8080
Contoh localhost8080
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Machine = windowxp[nama mesin virtual]
Lable = windowxp
Platform= windowxp
Ip = mesin virtual
Kalu kita mulai menjalankan mesin cuckoo framework dan kita bisa dapat hasil dari ini
Kita jalankan mesin
rootpuspita~cuckoopython cuckoopy
rootpuspita~cuckooutilspython submitpy
rootVirtualBoxVMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011
_10982_files0a7856cb98995c14baf8a4a684b1773c84815d4f
Hasil screen shootnya
Seteh itu kita lihat apakah di cuckoo juga berhasil
Dah complet hasil kita sekarang buka versi web Cuckoo framework ini berjalan di port
8080
Contoh localhost8080
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Seteh itu kita lihat apakah di cuckoo juga berhasil
Dah complet hasil kita sekarang buka versi web Cuckoo framework ini berjalan di port
8080
Contoh localhost8080
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Metode Manual analysis
kita lihat secara manual dari properties
Sekarang kita cek sercar rinci file
Kita menggunakan tools exiftool dan strings untuk mengecek dan menganalisa dari file
yang terdapat di dalam pdf tersebut
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Ada informasi bahwa file ini benar terdapat malware karena ldquoxref tablerdquo ada informasi
yang penting
Xref table atau (cross referencelookup) table merupakan table data yang berdiri sendiri
Kita bahas dari struktur PDF(Portable Document Format) terlebih dahulu
Pada Portable document format kita dapat masukan berbagai bentuk format baik gambar
atau pun tulisan elemet multimedia dan url sekalipun Untuk itu kita harus mengerti
terlebih dahulu format dan struktur pdf ldquoAda Cerita bahwa alam semesta itu luas tak
terhingga bagaikan angka 1+1 dan di lakukan secara looping dan dalam membuat pdf
tidak ada batasan jumlah page rdquo Kita lihat perbandingan antara format pdf yang biasa
dengan yang sudah terdapat malware
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Kita akan membandingkan antara file pdf NOVENTIA PUSPITA SARI DAN
IMAGEpdf dengan yang kita bahas di atas
Perbedaan terlihat ditidak terdapat warning file pada sebelumnya terdapat warning file
bernentuk Xref table Sekaran kita lihat bedah dari source string nya
Pada pada awal nya kita lihat setiap file pdf pasti menjelaskan bahwa file tersebut bertipe
pdf dan string asciinya start file PDF-(version) ascii25 64 44 50lt P D F Dan
ending file EOF(Ending Of File) EOF Ascii 25 25 45 4f 46
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Sekarang kita gambarkan secara umum
HEADER
BODY
lsquoXrefrsquoTABLE
TRAILER
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Setiap elemen dari PDF seperti ini
Header header dari pdf di awali format PDF dan versinya jika ingin membaca file
header dari pdf bisa mengetikan perintah
rootpuspita~VirtualBox
VMswindowxpNoventiaPuspitaSAriMALWARE_PDF_PRE_04-2011_10982_files
xxd NOVENTIA PUSPITA SARI DAN IMAGEApdf | grep PDF
Kita dapat membaca secara manual pada ascii ini
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Body di dalam body terdapat bentuk yang di masukan baik berupa text image element
multimedia dan lainya Di bagian body tempat dimana nantinya ditampilkan ke user
xref Table cross reference Table bagian yang menunjukan kemana objek yang dituju dari
isi document Tujuan dari xref Table(cross reference) Table adalah merendom terhadap
access object pada file Jadi tidak semua bisa dibaca pada document PDF terhadap object
di dalamnya Yang mana akan dijelaskan satu per satu cross reference Table
Dari sini dilihat dari objet pertama hingga akhir kosong tidak ada source yang di
sembunyikan bahwa semua nilai dari lsquonrsquo hingga lsquonrsquo zerokosong
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Trailer pada trailer PDF di jelaskan bagaimana palikasi document PDF dibaca dan
dibaca mulai dari
Root[directory] bagian yang menunjukan ke dokument katalog object yang mana berisi
pointer - pointer dan berbeda terhadap objet - object lainnya Adapun yang dimaksud
Encrypt[dictionary]bagian yang menunjukan library enkripsi
Info[dictionary] bagian yang menunjukan ke objek library informasi
Id[array]bagian dari betuk array dengan ukuran 2 bits yang tidak di ekripsi untuk
mengidentifikasi file
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
xrefStm[integer] bagian yang berkesinambungan antar awal dari file hingga ke cross
referece stream yang di decode
Sekaran kita akan membandingkan yang memiliki malware pada file pdf
Size[integer] bagian yang menujukan bobot pada cross reference Table artinya jumlah
object - object yang ada
Prev[integer]digunakan untuk memulai pada bagian Xref hingga pada multiple Xref
Incremental Update
Pada PDF secara langsung update secara sendirinya bila kita masukan object tertentu
karena file PDF cepat sekali dalam save sebuah object yang telah kita masukan
header
Orginal body
Orginal Xref section
Orginal Trial
Body update
body update 1
Xref section 1
Update Trial 1
Body n
Xref section n
Update Trial n
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Kita dapat lihat flag pada dimulainya dengan tanda lsquofrsquo dan di akhiri dengan EOF
PDF Data Type
Pada document PDF terdapat delapan memiliki objek type Ke delapan tersebut
Booleans numbers strings names arrays dictionarys strims dan null object
Booleans
Pada type boolean hanya ada dua nilai true dan nilai false
Number
Pada type number terdapat dua integer dan real pada integer 123+123 pada real1230
+ 123 + 123(periode + character)
Names
Nama di dalam dokument PDF penjelaskan urutan dari ASCII karakter antar 0x21 hingga
0x7E Pengecualian pada karakter - kareakter ( ) lt gt [ Yang mana
pastinya mendahulukan sebuah slash Penjelasan secara gamblang sama dengan bentuk
heksadesimal dalam proses sebuah karakter lsquorsquo Pembatasan dari sebuah nama dalam
element ini hanya 127 bytes Penjelasan slash lsquorsquo merupakan bagian dari awalan dari
sebuah namacontohnya A42 adalah AB
Strings
Strings pada sebuah PDF menjelaskan kode seri dari tanda kurung kurawal yang mana
batasan dari string itu hanya sampai 65535 byte Selain itu masih ada karakter - karakter
yang di jelaskan dalam ASCII dan ada alternatif lainnya seperti octal atau hexadesimal
Contoh penjelasan dalam hexadecimal
amplt6d79737472696e67ampgt
Kita juga dapat menggunakan karakter spesial dari sebuah string n r b f( )
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Adapun komponen lainnya yang terdapat dalam document PDF seperti array dictionaries
streams Null Object Indirect Objects Documet Structure Document catalog page tree
Analysis file PDF terindikasi Malware
Dapat gunakan Strings Hexinator Hexedit pdfetex pdflatex dan lainnya Setelah kita
lihat bagian atas kita telah analysis menggunakan cuckoo framework namun sekarang
secara manual kita akan lihat aktifitas sources file PDF tersebut tetapi saya tidak
menjalankan secara langsung PDF document ini dilaptop saya karena takutnya malware
ini akan bekerja sourcenya sebab kita belum lihat script didalamnya dia termasuk static
atau dinamik dan dia execute-running setelah di click atau tidak
Cotoh kita ambil file pdf dari salah satu Lab Teman saya yang berada di Milan bernama
MilaParkour
Betuk screenshootnya
Petama kita cek dulu menggunakan aplikasi pdfinfo karena kita mendapati bentuk dari
file tesebut pdf
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Kita bisa melihat informasi banyak sekali dari sini
Sekarang kita melihat isi dari file tersebut menggunakan strings
Kita dapat beberapa informasi penting nih seperti
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
File lengkapnya saya telah mengirim dalam bentuk log dan beberapa informasi seperti
informasi creator
Kalu dilihat dari strings kita tidak lihat aktifias di body dapat informasi dalamnya
sekarang kita mengguankan pdf-parser untuk lognya sudah saya betuk juga
Ternyata mengguanak parser lebih spesifik informasinya terdapat beberapa
Terapat file yang telah di encode dengan panjang bytes 1653
Kita cek log lagi pada logstringstxt
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Karena kita sudah dapat clue dari strings kita cari dari hexinator file yang muali stram
hingga endstream dengan pajang 1653 bytes
Kira - kira seperti
ini
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
Setelah itu kita seve bagian stram hingga akhir stream walau dalam bentuk acakan kita
akan terjemahkan dalam bentuk ASCII karena kita sudah mengguanakn editor ke ASCII
Karena menerjemahkan saya harus membuat aplikasi dahulu sampai disini dulu
analysisnya selanjutnya akan saya upload hasil dari terjemahan hasil dari dan aplikasinya
Terimakasih masih banyak yang kuran
REFRESI
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained
httpdanlinstedtcomallpostsdatavaultcatxref-tables-with-history
httpresourcesinfosecinstitutecompdf-file-format-basic-structure
httpsblogidrsolutionscom201105understanding-the-pdf-file-format-E28093-p
df-xref-tables-explained