根据SonicWall Capture Labs威胁研究人员的一份报告,欺诈性PDF文件大量增加。
此活动利用收件人对PDF文件的信任,收件人一般将PDF认为是“安全”的文件格式,使用广泛。
SonicWall总裁兼首席执行官Bill Conner说:“越来越多的电子邮件、Office文档和现在的PDF文件是网络环境中恶意软件和欺诈的首选工具。”
PDF攻击活动概况
去年一整年,研究人员的Capture ATP沙箱在PDF文件中发现了超过47,000个新的攻击变体。今年,研究人员这个数字显著上升,仅在3月就发现了超过73,000个基于PDF的攻击。
去年,SonicWall实时深度内存检测(RTDMI)确定了74,000多个前所未见的攻击,这个数字在2019年第一季度已经被超越,检测到173,000多个新变种。3月份,RTDMI发现了83,000多起恶意事件,其中超过67,000起与PDF相关,超过5,500起直接与PDF相关。
网络钓鱼PDF诈骗活动通常从“企业”接收恶意文档,这些文档通过附加的PDF文件引诱受害者,这些文件看起来非常具有欺骗性,还有欺骗页面。PDF附件中的商业报价对收件人来说很有吸引力,因为只要点击链接,收件人就可以获利。
为什么在网络攻击中使用恶意PDF?
在多种恶意PDF攻击中,PDF阅读器本身包含允许文件执行恶意代码的漏洞。请记住,PDF阅读器不仅仅是Adobe Reader和Adobe Acrobat等应用程序。大多数Web浏览器都包含一个内置的PDF阅读器引擎,也可以作为攻击目标。
在其他情况下,攻击者可能会利用AcroForms或XFA Forms,它们是PDF创建中使用的脚本技术,旨在为标准PDF文档添加有用的交互式功能。对普通人来说,恶意PDF看起来相当无辜,他们不知道它正在执行代码。根据Adobe的说法,“自定义PDF文件最简单、最强大的方法之一就是使用JavaScript。”
如何预防PDF攻击
首先,用户可以采取一些措施来帮助减少基于PDF的攻击。大多数阅读器和浏览器都会有某种形式的JavaScript控件需要调整。
改变你的偏好。例如,在Adobe Acrobat Reader DC中,您可以在首选项中禁用Acrobat JavaScript来管理对URL的访问 。
自定义控件。同样,用户还可以自定义Windows处理NTLM身份验证的方式。
虽然这些缓解措施“很好”并且当然值得考虑,但这些功能与Microsoft Office宏一样被添加来提高可用性和生产力。因此,请确保您没有禁用重要功能。
本文作者:Gump,转载自:http://www.mottoin.com/detail/3925.html