技术详解 | 黑客如何通过PDF文件分发恶意软件

写在前面的话

本文将对近期互联网环境中通过PDF文件分发恶意软件的活动趋势进行介绍，并以AgentTesla为例，对相关恶意软件活动所使用的技术进行深入研究和分析。

近期，McAfee Labs的安全研究人员观察到通过PDF文件分发恶意软件的活动数量出现了大幅增长。很多恶意软件不仅仅可以通过恶意网站或下载链接来进行分发感染，而且有些恶意软件实例会更加偏向于通过网络钓鱼邮件和邮件中的PDF恶意附件来实现传播。根据McAfee的遥测数据显示，在过去的三个月时间里，通过非可移植可执行程序（non-PE）作为载体进行分发的恶意软件活动趋势变化如下图所示：

为什么选择PDF？

针对那些通过互联网传递Office文件的场景，微软上线了一个名为宏阻止（macro-blocking）的功能。至此之后，威胁行为者被迫开始寻求通过电子邮件来分发恶意软件的替代方法。PDF文件的复杂结构使得它更加容易受到攻击和感染，同时这也提升了检测PDF恶意内容的难度。在常见的电子邮件附件分发场景中，PDF毫无疑问是一种非常常见的文件格式，而通过PDF来欺骗和感染目标用户的方法也是威胁行为者最有效的攻击途径之一。

威胁行为者可以轻松构建出基于PDF的恶意软件，其中通常会包含托管在外部网站上的恶意Payload。当用户在交互（例如点击链接）时，这些PDF将从外部网站下载Payload，从而大大增加了安全风险。

感染链

在基于PDF的恶意软件分发场景中，威胁行为者通常会先从包含PDF附件的电子邮件开始着手，将恶意邮件发送给目标用户，以此来实现最终Payload的传播和感染。在Acrobat Reader的过时且未修复漏洞的版本中，PDF会使用MSHTA直接执行嵌入的JavaScript代码，然后启动PowerShell，并最终实现进程注入。而在最新版本的Acrobat Reader中，PDF是无法直接执行JavaScript代码的。但是，它们可以重定向到恶意网站，并从恶意网站下载JavaScript脚本，而之后的流程就没有太大变化了，大致流程如下图所示：

初始感染

首先，我们讨论涉及Acrobat Reader更新版本的场景，因为大多数用户可能都会安装此版本。一般来说，这些PDF会使用各种主题进行伪装，例如显示突出下载按钮的财务资料、提示立即操作的消息、或看似跳转到良性地址的按钮等等。

在近期的一次攻击事件中，威胁行为者使用了一个名为“Booking.com-1728394029.pdf”的PDF文件。从文件名来看，威胁行为者主要针对的是Booking.com的用户。打开该文件后，会弹出一个提示框，大致意思是“播放器不兼容”：

在对该PDF进行内部深入分析后，我们在其中的对象数据中识别了一些十六进制数据和嵌入的URL。在下图中，红色框中突出显示的URL“https://bit[.]ly/newbookingupdates“是一个Bitly URL。威胁行为者使用了Bitly URL来隐藏恶意链接，以此来增加安全检测难度。在欺骗用户泄露敏感信息的网络钓鱼方案中，这种方法特别有用。Bitly的动态链接允许威胁行为者更改目标，增强了他们逃避检测的能力。除此之外，他们还会利用与Bitly相关的信任来提高其社工策略的成功率。

此URL目的就是连接到https://bio0king[.]blogspot[.]com：