Belajar dengan berlatih: Analisis PDF Mencurigakan(?)

  • Whatsapp
Belajar dengan berlatih: Analisis PDF Mencurigakan(?)
Belajar dengan berlatih Analisis PDF Mencurigakan

News.nextcloud.asia

Menerima email tentang Detail Pengiriman Uang dari Forsythe Technology Canada Inc. mengaku dari informasi pembayaran, pengiriman uang[at]wellsfargo.com. Pertama, aku bukan mengharapkan kiriman uang.

Pada titik ini, saya jelas khawatir bahwa seseorang telah menargetkan saya, dengan harapan sebagai berikut:

1. Email ini melewati filter apa pun yang mungkin ada
2. Bahwa saya membuka PDF.

Saya kira 50% lulus taman tidak buruk. Itu lolos filter. Namun, itu tidak cukup meyakinkan bagi saya untuk membuka PDF.

Melihat terlebih dahulu pada header dan mengekstraksi apa yang menurut saya penting, kita melihat:

Authentication-Results: spf=fail (sender IP is 205.139.110.120)
 smtp.mailfrom=wellsfargo.com; siriuscom.com; dkim=fail (body hash did not
 verify) header.d=wellsfargo.com;siriuscom.com; dmarc=fail action=oreject
 header.from=wellsfargo.com;compauth=none reason=451
Received-SPF: Fail (protection.outlook.com: domain of wellsfargo.com does not
 designate 205.139.110.120 as permitted sender)
 receiver=protection.outlook.com; client-ip=205.139.110.120;
 helo=us-smtp-1.mimecast.com;

Saya perhatikan surat itu sepertinya berasal dari pandangan[.]dengan domain dan telah mencapai sejumlah server dalam domain itu. Lebih penting lagi, tampaknya ada banyak kegagalan terkait dengan Sender Policy Framework (SPF).

Memeriksa hash file di VirusTotal, Google, Bing dan Duck Duck Go, semua mengembalikan 0 hasil pada saat pencarian saya.

C:UsersSecurityNik>certutil -hashfile c:tmptrk971234427.pdf MD5
MD5 hash of c:tmptrk971234427.pdf:
6dbd1780250f64939227b82bfa4e5382
CertUtil: -hashfile command completed successfully.

Menggali lebih dalam, untuk mempelajari tentang PDF. Mengambil puncak dengan PDFId.

C:UsersSecurityNik>pdfid c:tmptrk971234427.pdf
PDFiD 0.2.7 c:tmptrk971234427.pdf
 PDF Header: %PDF-1.4
 obj                    9
 endobj                 9
 stream                 3
 endstream              3
 xref                   1
 trailer                1
 startxref              1
 /Page                  1
 /Encrypt               0
 /ObjStm                0
 /JS                    0
 /JavaScript            0
 /AA                    0
 /OpenAction            0
 /AcroForm              0
 /JBIG2Decode           0
 /RichMedia             0
 /Launch                0
 /EmbeddedFile          0
 /XFA                   0
 /URI                   0
 /Colors > 2^24         0

Dikatakan bahwa sebagian besar dokumen PDF berbahaya, hanya memiliki 1 halaman. Kita lihat di atas 1 halaman. Itu sendiri tidak mencurigakan. Apa yang kita miliki dalam tiga aliran.

C:UsersSecurityNik>pdf-parser c:tmptrk971234427.pdf --object 1,3,5
obj 1 0
 Type: /XObject
 Referencing:
 Contains stream

  <<
    /ColorSpace /DeviceRGB
    /Subtype /Image
    /Height 42
    /Filter /DCTDecode
    /Type /XObject
    /Width 230
    /BitsPerComponent 8
    /Length 6170
  >>


obj 5 0
 Type:
 Referencing:
 Contains stream

  <<
    /Filter /FlateDecode
    /Length 1282
  >>


obj 3 0
 Type: /XObject
 Referencing: 2 0 R
 Contains stream

  <<
    /Subtype /Form
    /Filter /FlateDecode
    /Type /XObject
    /Matrix [1 0 0 1 0 0]
    /FormType 1
    /Resources
      <<
        /ProcSet [/PDF /Text /ImageB /ImageC /ImageI]
        /Font
          <<
            /F1 2 0 R
          >>
      >>
    /BBox [0 0 36 10.35]
    /Length 55
  >>

Melihat ke obj 1 0 kita melihat informasi yang menunjukkan suatu gambar. Informasi seperti ColorSpace, Tinggi 42, Lebar 230. Kami juga melihat ini tampaknya berukuran 6170 byte.

Mencoba mengekstrak konten ini dari obj 1 0, kami melihat filter DCTDecode tidak didukung

C:UsersSecurityNik>pdf-parser c:tmptrk971234427.pdf --object 1 --filter
obj 1 0
 Type: /XObject
 Referencing:
 Contains stream

  <<
    /ColorSpace /DeviceRGB
    /Subtype /Image
    /Height 42
    /Filter /DCTDecode
    /Type /XObject
    /Width 230
    /BitsPerComponent 8
    /Length 6170
  >>

 "Unsupported filter: ['/DCTDecode']"

Mengambil keuntungan dari PDFStreamDumper dan melihat HexDump dari aliran 1, kami melihat cuplikan di bawah dari beberapa byte pertama, menunjukkan ini adalah file PDF.

Saya kemudian menyimpan byte itu ke file bernama pdf-obj-1.jpg.

C:UsersSecurityNik>dir c:tmppdf-obj-1.jpg
 Volume in drive C has no label.
 Volume Serial Number is 6C10-15EA

 Directory of c:tmp

12/22/2020  01:28 PM             6,170 pdf-obj-1.jpg
               1 File(s)          6,170 bytes
               0 Dir(s)  37,737,611,264 bytes free

Anda mungkin juga memperhatikan bahwa ukuran file cocok dengan hasil yang dikembalikan dalam panjang obj 1 0.

Saya kemudian menjalankan hash Image SHA1 melalui VirusTotal dan tidak mendapat pukulan. Perhentian berikutnya, muat ProcessHacker sebelum membuka gambar, untuk melihat apakah itu membuat proses apa pun. Gambar tersebut ternyata adalah logo perusahaan.

Sekarang mari kita lihat obj 5 0. mengarahkan outputnya ke file bernama pdf-obj-5.txt.

C:UsersSecurityNik>pdf-parser c:tmptrk971234427.pdf --object 5 --filter --dump pdf-obj-5.txt
obj 5 0
 Type:
 Referencing:
 Contains stream

  <<
    /Filter /FlateDecode
    /Length 1282
  >>

Memverifikasi pembuatan file.

C:UsersSecurityNik>dir pdf-obj-5.txt
 Volume in drive C has no label.
 Volume Serial Number is 6C10-15EA

 Directory of C:UsersSecurityNik

12/22/2020  01:45 PM             5,948 pdf-obj-5.txt
               1 File(s)          5,948 bytes
               0 Dir(s)  37,858,271,232 bytes free

Menjalankan Tipe perintah pada file untuk melihat apakah ada sesuatu yang mencurigakan, tidak ada yang dikembalikan.

C:UsersSecurityNik>type pdf-obj-5.txt | more
q
36 36 540 720 re
W
n
q
1 0 0 1 39 734.74 cm
q 100 0 0 18.26 0 0 cm /img0 Do Q
Q
q

Pada titik ini, saya belum menemukan apa pun untuk mengkonfirmasi kecurigaan saya bahwa ini adalah file berbahaya. Saya kemudian membuka file di mesin analisis saya menggunakan browser saya. Ini adalah ketika saya mulai tertawa. Kurasa aku agak terlalu paranoid.

Positif Palsu
Ternyata ini benar-benar email yang sah. Aku hanya tidak mengharapkannya. Demikian pula, saya sudah siap untuk melaporkan ini sebagai Mencurigakan. Saya kira itu adalah hal yang baik saya mengambil sedetik untuk melihatnya untuk melihat apa yang mungkin menarik. Bagaimana saya tahu itu sah? Bukti lebih lanjut dapat diperoleh dengan individu dalam organisasi untuk memastikan bahwa ini sah. Hal penting yang perlu diperhatikan di sini, adalah bahwa konteks benar-benar penting saat melakukan analisis.

Referensi:
Bagaimana SPF Bekerja
Menerapkan kebijakan DMARC (tolak) pada penyewa Office 365

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *