Abdi Bimantara

Abdi Bimantara

Security Analyst

MalwarePDF Analysis in Indonesian

5 minute read

Published:

Malware merupakan singkatan dari malicious software. Malware memiliki efek negative bila berhasil masuk dalam system. Perkembangan malware saat ini pun semakin mejadi jadi, hal ini dibuktikan dengan banyak ditemukannya jenis-jenis malware. Umumnya jenis malware tersebut seperti ransomware, adware dan spyware. Selain itu tidak selamanya malware berbentuk .exe, saat ini pun telah banyak jenis lain seperti .apk dan .pdf.

.pdf merupakan kependekan dari Portable document file. Dimana .pdf merupakan salah satu ekstensi fie yang cukup popular selain .doc. Alasan kenapa ekstensi file ini sangat populer adalah file yang menggunakan ekstensi file tersebut sangat lah mudah dibuka dalam berbagai macam devices.

Namun dibalik kepopuleran file yang berekstensi .pdf ini, memiliki ancaman yang sangat serius. Dimana ancaman tersebut seperti malware. Maksudnya adalah malware yang diembeddedkan dalam sebuah file berkektensi .pdf. Dimana yang pada awalnya pdf tersebut terlihat normal dan biasanya saja, namun seteleh dilakukan proses embedded malware maka file tersebut otomatis akan menjadi berbahaya. Dimana proses tersebut biasa disebut dengan steganografi.

Hasil Analisa

Berdasarkan tulisan diatas, kami akan mencoba melakukan Analisa sebuah file pdf. Dimana tujuan kami yatiu sebisa mungkin untuk menemukan pola atau bagian-bagian yang mencurigakan (anomali). Sehingga kami dalam menyimpulkan apakah file pdf tersebut berpotensi sebagai malware atau tidak.

Analisis yang kami gunakan pada kali ini mengadopsi analisis statis. Dimana proses anlisis ini dilakukan tanpa menjalankan file tersebut. Alasan kami menggunakan analisis statis yaitu proses yang dilakukan jauh lebih aman ketimbang dengan proses yang dilakukan menggunakan analisis dinamis.

File yang akan kami coba analisa berasal dari website : https://bazaar.abuse.ch/. Website tersebut tidak hanya meyediakan malware dalam bentuk pdf, juga menyediakan ekstensi lainnya. Sehingga web tersebut menjadi referensi kami dalam mengambil sampel malware.

File tersebut masih dalam bungkusan zip, sehingga diperlukan proses unzip terlebih dahulu. Dimana password dari file tersebut adalah malware. Setelah kita berhasil mengekstrak file tersbeut maka file tersebut sudah siap untuk dianalisa.



Langkah pertama kami akan melalukan pengencekkan metadata yang terdapat pada file tersebut. Kami menggunakan bantuan tools exiftools untuk memudahkan kami membaca metada dari file tersebut.



Informasi yang berhasil kami dapatkan yaitu :

  • Nama file yang terbaca yaitu : Sample.pdf namun disisi lain kami juga menemukan Title yaitu Untitled.
  • Informasi mengenai Create Date, dan modify date tampak sama persis. Hal ini membuktikan bahwa file tersebut memang tidak ada perubahan sama sekali dari awal pembuatan
  • Informasi mengenai pembuat file tersebut adalah InvoiceHome.com
  • Informasi mengenai file permissions yaitu hanya Read saja dan tidak mengizinkan untuk mengubahnya
  • Informasi mengenai versi PDF yang digunakan dan jumlah halaman dari file pdf
  • Informasi mengenai MIME Type dimana disini terdapat kejanggalan yaitu application/pdf


    • Nampak dari informasi awal ini mungkin belum bisa kita simpulkan bahwa file tersebut merupakan malware atau tidak, namun terdapat beberapa informasi yang sedikit mengundang rasa pernasaran saya yaitu informasi pada point 1 dan point 5 diatas.

    Langkah selanjutnya kita akan melakukan analiasis header dari dari file tersebut. Langkah ini bertujuan untuk mengetahui lebih lanjut informasi lebih detail dari pdf tersebut. Kali ini kami menggunakan tools pdfid.



    Menggunakan tools pdfid kami berhasil melalukan proses ekstraksi dokumen pdf mejadi daftar string dalam beberapa kategori. Selain itu kami juga berhasil mendapatakan informasi mengenai kemucnulan (Total and Obfuscated) untuk menganalisa dokumen tersebut apakah mengandung javascirpt dan atau akan melakukan sebuah aksi saat kami akan membukanya.

    Informasi yang berhasil kami dapatkan menggunakna tools ini yaitu :

  • Pada umumnya, setiap dokumen pdf akan memiliki 7 kategori utama yang dapat dilihat pada gambar diatas.
  • Pada PDF Header : %PDF-1.7 terdapat informasi yang berati bahwa pdf yang digunakan versi 7dan infromasi ini sama dengan informasi yang kami dapatkan dari tools exfitools
  • Pada bagian /Page menjelaskan bahwa file terebut terdiri dari 2 halaman. Umumnya pdf anomaly terdiri dari 1 halaman saja.
  • Pada bagian /Encrypt menjelaskan informasi Mengenai apakah file tersebut menggunakan enkripsi seperti password untuk membukanya. Namun pada file ini kita mendapatkan informasi bahwa file tersebut tidak terenkripsi.
  • Pada bagaian /JS dan /JavaScript umumnya malware pdf memiliki javascript. Hal ini bertujuan untuk menlalukan ekspoloitasi kerentanan menggunakan javasript. Namun hal ini tidak menutup kemungkinan file normal pun memiliki kandungan javascript didalamnya.
  • Pada bagian /AA menunjukkan Tindakan yang akan dilakukan secara otomatis saat halaman ataupun file tersebut dibuka.
  • Kombinasi antara javascript dan Tindakan otomatis merukapan salah satu anomaly yang haru kita waspadai.
  • Informasi pada bagian /Launch, dimana informasi ini berarti terdapat function yang akan dijalankan berdasarkan waktu yang sudah di konfigurasi sebelumnya.


    • Berdasarakan hasil pengecekkan header menggunakan tools pdfid, Kami menyimpukan bahwa sample .pdf yang kami gunakan memiliki kemungkinan anomali yang cukup tinggi. Dimana pada file .pdf ini memiliki kombinasi yang sangat menakutkan yaitu javascript serta /OpenAction dan /launch. Kami pun mencoba melakukan parsing lebih dalam, dimana ini memungkinkan kami melakukan penyelidikan lebih detail.



    Hasil dari pengecekkan pada bagian /OpenActtion Mengarahkan kita untuk membuka object 37. Sehingga kami pun membuka object ke 37.



    boom kami mendapatkan informasi bahwa file ini mengandung script javasript yang akan menjalankan 1002-Contoso. Dimana perintah /Launch diterapakan menggunakan parameter 0. Sehingga kami mengartikan bahwa saat file .pdf ini dibuka, maka secara otomatis (dalam tempo 0 detik) file pdf tersebut juga akan menjalankan 1002-Contoso.



    Kami juga tidak lupa membuka object ke 33 untuk memastikan hipotesa kami saat ini.



    Ya disini kami pun semakin panik, dimana file tersebut memang benar terembedeed suatu file dan akan dibaca dalam rentang waktu 0 detik. Dimana Hal ini juga diperkuat dengan temuan kami pada hasil parsing secara keseluruhan pada file pdf ini



    Kami semakin terheran heran, apa sebenarnya 1002-Contoso ini. Dan kami pun memutuskan untuk mengeceknya di google. Hasilnya sangat sesuai dengan prediksi awal kami yaitu ..



    dan bingo 1002-Contoso adalah malware yang berbentuk exe berkamuflase sebagai .pdf

  • https://github.com/filipi86/MalwareAnalysis-in-PDF
  • https://arxiv.org/pdf/2107.12873.pdf
  • https://zeltser.com/analyzing-malicious-documents/
  • https://journal.binadarma.ac.id/index.php/jurnalmatrik/article/view/1148/675

    • You May Also Enjoy

    Ransomware Investigated with splunk - BOTS Case

    less than 1 minute read

    Published:

    Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

    Pcap Investigasi - Scaning Activity from Internal Network

    less than 1 minute read

    Published:

    Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

    Malicious APK-Buka Undangan Pernikahan

    less than 1 minute read

    Published:

    Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

    Ransomware Attack Analysis - LetsDefend Case

    less than 1 minute read

    Published:

    Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.