惡意 PDF 閃避技術分析

在許多漏洞攻擊包裡,惡意PDF檔案是用來感染使用者以帶入各種惡意檔案的最常見威脅之一。自然地,安全廠商會投資在正確偵測這些檔案的努力上 – 而惡意作者也會投資在閃避這些廠商的偵測上。

PDF

透過主動式雲端截毒技術的回饋資料,我們研究了幾種今日常見用在PDF漏洞攻擊的技術。這篇文章會介紹這些技術。對於這些技術的瞭解則有助於加強趨勢科技偵測這些漏洞的能力。

 

常見的JavaScript閃避技術

大多數PDF漏洞攻擊碼都會使用某種形式的內嵌JavaScript。正因為如此,常見的JavaScript閃避和模糊處理技術也會被用在這裡。例如:字符串替換、try-catch 例外,fromCharCode迴圈都可以用在PDF檔案。

下面的程式碼片段顯示一些被使用的技術:

 

惡意PDF分析閃避技術

圖一、常見被使用的JavaScript閃避/混淆處理技術

 

這個特定的漏洞攻擊碼針對CVE-2010-0188

 

編碼內容和函數名稱的INFO物件

這類型的混淆處理將加密過的程式碼存到部分INFO物件(如標題、主題、作者等)。可以用JavaScript來提取和解碼加密過的惡意程式碼。

在此樣本裡,INFO物件的標題/建立者欄位很詭異。建立者欄位是非常長的字串,用無數驚嘆號來斷開。

惡意PDF分析閃避技術

 

圖二、INFO物件內的編碼過程式碼

繼續閱讀