此前微軟已經透過Office更新預設禁用來自網路的辦公文件中的宏，以前這類宏是駭客的鐘愛之一，針對商業使用者的釣魚郵件通常都會製作所謂的訂單或者報價資訊，誘導使用者啟用宏，進而執行宏裡面包含的惡意指令碼。現在這條路已經不太容易走了，所以不少駭客將目標轉向 PDF 文件，針對 Adobe Acrobat 使用者們發起釣魚。

為什麼主要是針對 Adobe Acrobat 呢？因為這款軟體在國外非常流行並且具有互動功能，如果只是拿 Chrome 開啟 PDF，那駭客暗藏的各種互動式惡意程式碼基本是無法執行的，除非 Chrome 的 PDF 引擎也包含漏洞。

這種情況分為兩種，第一種是針對包含漏洞的 Adobe Acrobat Reader 這類，第二種則是針對不含漏洞的，那就得使用者手動互動。

針對包含漏洞的 Adobe Acrobat

攻擊者一般會精心製作包含惡意程式碼的 PDF 文件，然後透過電子郵件或其他渠道進行分發，在過時且未安裝補丁的 Adobe Acrobat 上，PDF 直接使用 MSHTA 執行嵌入的JavaScript 指令碼，然後呼叫 powershell.exe 執行惡意指令碼載入一系列惡意負載並讓自己具有永續性，即重啟後惡意軟體也會跟著重啟。整個過程都是自動化的，只需要使用者使用 Adobe Acrobat 開啟這個 PDF 檔案即可。

針對不包含漏洞的 Adobe Acrobat

在新版本 Acrobat 上 Adobe 已經禁用執行 JavaScript 指令碼，為此駭客會透過 PDF 彈出一個對話方塊要求重定向到外部網站。這個外部網站也會下載 JavaScript 指令碼並命名為具有誘導性的內容，引導使用者開啟這個 JavaScript 指令碼，執行後也會下載一系列負載。

接下來就是駭客的各種躲避操作了，例如要規避 Microsoft Defender 的查殺、修改 UAC 賬戶控制相關的登錄檔項、禁用 Windows 防火牆等，當然也包括利用一些方式進行許可權提升。

完成這些操作後實際上被感染的裝置就已經成了肉雞，整個裝置不存在任何私密性，如果駭客願意，那麼都可以隨時獲取各種機密資料，比如安插個鍵盤記錄器。

CACTER郵件安全專家建議

CACTER郵件安全資訊保安專家表示利用辦公軟體漏洞進行病毒載荷投放是攻擊者較為常用的手段，除Adobe Acrobat外，office、winrar等許多辦公常用軟體也曾被攻擊者利用低版本漏洞用於投遞和載入惡意軟體。其特點是 需要的 使用者互動少，自動載入，隱蔽性強。許多個人使用者疏於對個人辦公軟體定期升級，導致很早之前公開的漏洞依然可以被攻擊者利用。

對於不利用漏洞，而是透過誘導使用者訪問外部網站的攻擊方式，除了 PDF 文件外，在 pps、doc 等辦公文件中也較為常見。這種攻擊的特點是，在請求外部資源時會彈出提示框，這就需要考驗使用者的安全意識了。

CACTER郵件安全建議廣大使用者：

及時更新Adobe Acrobat、WPS、MS OFFICE等軟體，防止攻擊者利用軟體低版本漏洞進行攻擊；
部署郵件安全閘道器，加強對惡意郵件的攔截；
提高安全意識，對於pdf、office等文件彈出請求外部資源的提示時需要高度警惕，切勿點選同意；
郵件系統管理員應對員工加強典型案例宣貫，提升員工安全意識。

【轉載宣告】本文部分內容引自，該內容源自 McAfee Labs 釋出的《Rise in Deceptive PDF: The Gateway to Malicious Payloads》。本文僅用於資訊傳播。如涉及作品內容、版權等問題，請及時與本公眾號聯絡，我們將第一時間進行處理。感謝原作者的分享與授權。

揭秘駭客新招：如何利用PDF釣魚攻擊使用者？

相關文章