阿里云優(yōu)惠券 先領(lǐng)券再下單

在2024年全球范圍內(nèi)，Adobe Acrobat 共打開(kāi)了超過(guò) 4000 億個(gè) PDF 文件，編輯了 160 億個(gè)文檔。  超過(guò) 87% 的機(jī)構(gòu)使用 PDF 作為業(yè)務(wù)通信的標(biāo)準(zhǔn)文件格式。在我國(guó)，隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷落地，以及電子商務(wù)、電子政務(wù)的標(biāo)準(zhǔn)不斷完善，PDF也已成為用戶日常發(fā)送正式電子文書(shū)的首選方式……正因如此，這使得 PDF 成為攻擊者隱藏惡意代碼的理想工具。多年來(lái)，惡意 PDF 一直是網(wǎng)絡(luò)犯罪分子最喜愛(ài)的途徑，在2025年，以PDF為載體的惡意攻擊將變得更加流行。

根據(jù) Check Point Research 的調(diào)查，68% 的惡意攻擊是通過(guò)電子郵件發(fā)送的，而基于 PDF 的攻擊目前占所有惡意電子郵件附件的 22%。因此，對(duì)于在日常工作時(shí)共享大量此類文件的企業(yè)來(lái)說(shuō)，它們尤其具有隱蔽性。近年來(lái)，不法分子開(kāi)始更有針對(duì)性的分析企業(yè)如何掃描下載文件，而 PDF 因其高成功率正成為首選的切入點(diǎn)。

威脅方使用復(fù)雜的反制措施繞過(guò)檢測(cè)，使得這些攻擊越來(lái)越難以發(fā)現(xiàn)和阻止。過(guò)去一年中，Check Point Research（CPR）監(jiān)測(cè)到大量未被傳統(tǒng)安全手段檢測(cè)到的惡意攻擊。它們?nèi)绾味氵^(guò)傳統(tǒng)安全措施？Check Point安全解決方案如何針對(duì)這些難以捉摸的威脅提供實(shí)時(shí)、零時(shí)差保護(hù)，并阻止源自PDF的攻擊鏈？Check Point公司的安全專家通過(guò)本文分享了答案。

PDF 為何成為網(wǎng)絡(luò)犯罪分子的主要目標(biāo)？

不同于使用時(shí)的便捷體驗(yàn)，事實(shí)上PDF 的機(jī)制與生態(tài)相當(dāng)復(fù)雜。（PDF 規(guī)范（ISO 32000）長(zhǎng)達(dá)近 1000 頁(yè)）這種復(fù)雜性為許多攻擊載體打開(kāi)了大門(mén)，而某些安全系統(tǒng)并不具備檢測(cè)這些載體的能力。對(duì)用戶來(lái)說(shuō)使用簡(jiǎn)單，對(duì)安全系統(tǒng)來(lái)說(shuō)復(fù)雜，這種獨(dú)特的組合使惡意 PDF 對(duì)不法分子具有強(qiáng)大的吸引力。

近年來(lái)，惡意 PDF 的復(fù)雜程度不斷提高。過(guò)去，網(wǎng)絡(luò)犯罪分子利用 PDF 閱讀器中的已知漏洞（CVE）來(lái)利用軟件中的缺陷。然而，隨著 PDF 閱讀器變得更加安全并經(jīng)常更新（特別是瀏覽器現(xiàn)在默認(rèn)打開(kāi) PDF），這種攻擊方法在大規(guī)?；顒?dòng)中已不再可靠。

依賴 PDF 中嵌入的 JavaScript 或其他動(dòng)態(tài)內(nèi)容的攻擊雖然仍然普遍，但已變得不那么常見(jiàn)?；?JavaScript 的攻擊往往比較 "簡(jiǎn)單"，更容易被安全解決方案檢測(cè)到。Check Point Research 發(fā)現(xiàn)，大多數(shù)基于 JavaScript 的所謂 "漏洞 "在不同的 PDF 閱讀器中都不可靠，許多安全廠商都能捕捉到它們。 因此，威脅行為者不得不改變策略?，F(xiàn)在，許多攻擊不再使用復(fù)雜的漏洞利用，而是依靠一種更簡(jiǎn)單但有效的方法--社會(huì)工程學(xué)。

網(wǎng)絡(luò)罪犯經(jīng)常利用 PDF 文件進(jìn)行網(wǎng)絡(luò)釣魚(yú)，因?yàn)檫@種格式被普遍認(rèn)為安全級(jí)別較高。這些文件通常被視為真正的文檔，是隱藏有害鏈接、代碼或其他惡意內(nèi)容的靈活容器。攻擊者利用用戶對(duì) PDF 附件的熟悉程度，采用社會(huì)工程學(xué)策略，增加了欺騙收件人的機(jī)會(huì)。此外，PDF 文件還能逃過(guò)電子郵件安全系統(tǒng)的眼睛，因?yàn)檫@些系統(tǒng)更注重在其他類型的文件中發(fā)現(xiàn)威脅。

Check Point近期分享了一些攻擊實(shí)例，其中 PDF 包含一個(gè)指向惡意網(wǎng)站或網(wǎng)絡(luò)釣魚(yú)頁(yè)面的鏈接。雖然這種技術(shù)的技術(shù)含量相對(duì)較低，但它的簡(jiǎn)單性使自動(dòng)系統(tǒng)更難發(fā)現(xiàn)。攻擊者的目的是讓受害者點(diǎn)擊鏈接，從而啟動(dòng)攻擊鏈。

PDF 攻擊戰(zhàn)役剖析

Check Point Research觀察到的最常見(jiàn)的PDF攻擊技術(shù)之一是基于鏈接的攻擊活動(dòng)。這些活動(dòng)簡(jiǎn)單而有效。它們通常包含一個(gè)指向釣魚(yú)網(wǎng)站或惡意文件下載的 PDF 鏈接。通常，鏈接會(huì)附帶一張圖片或一段文字，目的是引誘受害者點(diǎn)擊。這些圖片通常模仿亞馬遜、DocuSign 或 Acrobat Reader 等可信品牌，使文件乍看之下無(wú)害。

使這些攻擊難以被發(fā)現(xiàn)的原因是，攻擊者控制著鏈接、文本和圖片的所有方面，因此很容易改變其中的任何元素。盡管這些攻擊涉及人與人之間的交互 （受害者必須點(diǎn)擊鏈接），但這往往是攻擊者的優(yōu)勢(shì)，因?yàn)樯诚浜妥詣?dòng)檢測(cè)系統(tǒng)很難完成需要人類決策的任務(wù)。

威脅行為者使用的規(guī)避技術(shù)

不法分子不斷調(diào)整自己的技術(shù)，以逃避安全系統(tǒng)的檢測(cè)。這些技術(shù)顯示了對(duì)不同檢測(cè)方法工作原理的深刻理解，它們往往是為繞過(guò)特定工具而量身定制的。

URL 規(guī)避技術(shù)

PDF 文件可能是惡意軟件的最明顯線索就是其中包含的鏈接。為了避免被檢測(cè)到，威脅者會(huì)使用一系列 URL 規(guī)避技術(shù)，例如

· 使用良性重定向服務(wù)：攻擊者通常使用眾所周知的重定向服務(wù)（如必應(yīng)、LinkedIn 或 Google 的 AMP URL）來(lái)掩蓋惡意鏈接的真實(shí)目的地。這些服務(wù)通常被安全廠商列入白名單，從而使基于 URL 信譽(yù)的系統(tǒng)更難檢測(cè)到威脅。

· QR 碼：另一種技術(shù)是在 PDF 文件中嵌入 QR 碼，鼓勵(lì)受害者用手機(jī)掃描。這種方法完全繞過(guò)了傳統(tǒng)的 URL 掃描儀，為攻擊增加了額外的復(fù)雜性。

· 電話詐騙：在某些情況下，攻擊者依靠社會(huì)工程學(xué)促使受害者撥打電話號(hào)碼。這種方法完全不需要可疑的 URL，但需要大量的人際互動(dòng)。因此，這類釣魚(yú)郵件往往是電話詐騙的初始步驟。

靜態(tài)分析規(guī)避

PDF 文件結(jié)構(gòu)復(fù)雜，許多安全工具依靠靜態(tài)分析來(lái)檢測(cè)惡意活動(dòng)。然而，這種方法并不總能有效對(duì)付基于 PDF 的復(fù)雜攻擊。攻擊者可以混淆文件內(nèi)容，使安全工具難以對(duì)其進(jìn)行分析。

例如，PDF 文件使用注釋來(lái)定義可點(diǎn)擊區(qū)域（如鏈接），但這些注釋的編碼方式可能讓靜態(tài)分析工具難以識(shí)別。攻擊者甚至可能利用 PDF 閱讀器在解釋這些注釋時(shí)的細(xì)微差別，導(dǎo)致自動(dòng)系統(tǒng)錯(cuò)過(guò)惡意意圖。

機(jī)器學(xué)習(xí)的漏洞

隨著安全系統(tǒng)越來(lái)越依賴機(jī)器學(xué)習(xí)（ML）來(lái)檢測(cè)威脅，攻擊者也在想方設(shè)法躲避這些模型。一種常見(jiàn)的技術(shù)是在圖像中嵌入文本，而不是使用標(biāo)準(zhǔn)文本格式，從而迫使安全系統(tǒng)依賴光學(xué)字符識(shí)別（OCR）來(lái)提取文本，使其更容易出錯(cuò)和延遲。攻擊者甚至可能篡改圖像，使用低質(zhì)量文件或以微妙的方式更改字符，以混淆 OCR 軟件。

除此之外，攻擊者還可能添加不可見(jiàn)或極小的文本來(lái)欺騙自然語(yǔ)言處理（NLP）模型，使安全系統(tǒng)更難理解文檔的真實(shí)意圖。

如何防范基于 PDF 的攻擊

Check Point Threat Emulation 和 Harmony Endpoint 針對(duì)各種攻擊策略、文件類型和操作系統(tǒng)提供強(qiáng)大的保護(hù)，可抵御上文詳述的各種威脅。

同時(shí)，企業(yè)應(yīng)加強(qiáng)員工的安全意識(shí)，采取一些切實(shí)可行的措施來(lái)降低風(fēng)險(xiǎn)：

● 始終核實(shí)發(fā)件人

即使 PDF 看起來(lái)合法，也要仔細(xì)檢查發(fā)件人的電子郵件地址。網(wǎng)絡(luò)犯罪分子通常會(huì)偽造知名品牌或同事，騙取您對(duì)文件的信任。

● 謹(jǐn)慎使用附件

如果您沒(méi)有想到會(huì)收到 PDF 文件，尤其是提示您點(diǎn)擊鏈接、掃描二維碼或撥打電話的 PDF 文件，請(qǐng)將其視為可疑文件。如有疑問(wèn)，請(qǐng)勿點(diǎn)擊鏈接或文件。

● 點(diǎn)擊前懸停

在點(diǎn)擊 PDF 中的任何鏈接之前，請(qǐng)將鼠標(biāo)懸停在該鏈接上，以查看完整的 URL。對(duì)縮短鏈接或使用必應(yīng)、LinkedIn 或 Google AMP 等重定向服務(wù)的鏈接要謹(jǐn)慎。

● 使用安全的 PDF 查看器

現(xiàn)代瀏覽器和 PDF 閱讀器通常具有內(nèi)置安全功能。保持它們的最新版本，避免在未升級(jí)或過(guò)時(shí)的軟件中打開(kāi) PDF。

● 禁用 PDF 閱讀器中的 JavaScript

如果 PDF 閱讀器支持 JavaScript（很多都支持），除非絕對(duì)必要，否則請(qǐng)禁用它。這樣可以降低基于腳本的漏洞利用風(fēng)險(xiǎn)。

● 不斷更新系統(tǒng)和安全工具

確保定期更新操作系統(tǒng)、瀏覽器和殺毒軟件。補(bǔ)丁通常會(huì)修復(fù)惡意 PDF 中的漏洞。

● 相信自己的直覺(jué)

如果一個(gè) PDF 文件看起來(lái)好得不像真的，有不尋常的格式和錯(cuò)別字，或者要求提供證書(shū)，那么它很可能是一個(gè)陷阱。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！