zoukankan      html  css  js  c++  java
  • 关于 PDF相关整改建议的pdf后门事件分析

    简介

    朋友圈都在流传下面这个截图

    关于 EDR 与 VPN 相关整改建议的pdf的行为分析。很好奇,于是找来团队内大佬要一份样本,开始分析

    解析pdf

    首先使用PDF Stream Dumper(http://sandsprite.com/blogs/index.php?uid=7&pid=57) 查看解析pdf文件

    当然,后面如果遇到可疑样本,都可以用该工具简单分析一下pdf文件。

    溢出漏洞

    首先我们点击Exploits_scan,查看一下pdf有没有利用溢出等漏洞的地方。结果如图,没有任何问题

    JavaScript 代码

    点击左侧每个object查看,结果如图,还是没有

    看来结论已经的得出,该pdf没有问题。下面我们使用在线沙箱加载该pdf

    在线沙箱运行

    在这里我使用 any.run 在线沙箱。有需要的朋友可以使用,完全免费。

    点击New task,在对话框中上传pdf文件。然后点击Run运行即可。

    分析完成界面如下所示

    下面我们分别来解释下分析结果

    网络请求

    我们可以点击下面的http request或者connectiion 查看进程的网络连接。当然,在这里则是加载该pdf的进行

    发起请求的进程,通过谷歌查找,如下

    请求的内容,也都与adobe有关。没有任何shellcode下载行为

    进程信息

    在这里,我们可以看到所有的进程信息。乍一看,该pdf启动了很多进程。但是实际上,则都是adobe加载一个pdf所必须的进程。我们可以点击一个进程,查看more info,如图

    在这里,则会看到每个进程的详细信息,包括文件读写情况,注册表独写情况,网络io请求等等一切信息。如图

    也没有发现任何有问题的地方。

    IOC

    any.run可以将网络请求与恶意ip库相关联。我们查看一下该样本的IOC

    依旧没问题

    结论

    但是上面朋友圈流传的图又是怎么回事呢?仔细一看,原来都是adobe创建的进程哇。。。。这是谁家的沙箱,看起来有点不太好用的样子。。。

    该pdf任何问题都没有,所以同志们一定要把在线沙箱玩明白。不要看见风就是雨,总想搞个大新闻。一定要分析,分析,分析

    关键点:一定要找一个能看清行为的在线沙箱,在这里我推荐

    https://app.any.run/

    hw期间,如有可疑样本,欢迎后台发送给我们团队

    欢迎关注 宽字节安全 公众号

  • 相关阅读:
    Android OpenGL ES 2.0 (四) 灯光perfragment lighting
    Android OpenGL ES 2.0 (五) 添加材质
    冒泡排序函数
    javascript object 转换为 json格式 toJSONString
    Liunx CentOS 下载地址
    jquery 图片切换特效 鼠标点击左右按钮焦点图切换滚动
    javascript 解析csv 的function
    mysql Innodb Shutdown completed; log sequence number解决办法
    Centos 添加 yum
    javascript 键值转换
  • 原文地址:https://www.cnblogs.com/potatsoSec/p/13515197.html
Copyright © 2011-2022 走看看