阿里云優(yōu)惠券 先領(lǐng)券再下單

在2024年全球范圍內(nèi)，Adobe Acrobat 共打開了超過 4000 億個 PDF 文件，編輯了 160 億個文檔。  超過 87% 的機構(gòu)使用 PDF 作為業(yè)務(wù)通信的標(biāo)準(zhǔn)文件格式。在我國，隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷落地，以及電子商務(wù)、電子政務(wù)的標(biāo)準(zhǔn)不斷完善，PDF也已成為用戶日常發(fā)送正式電子文書的首選方式……正因如此，這使得 PDF 成為攻擊者隱藏惡意代碼的理想工具。多年來，惡意 PDF 一直是網(wǎng)絡(luò)犯罪分子最喜愛的途徑，在2025年，以PDF為載體的惡意攻擊將變得更加流行。

根據(jù) Check Point Research 的調(diào)查，68% 的惡意攻擊是通過電子郵件發(fā)送的，而基于 PDF 的攻擊目前占所有惡意電子郵件附件的 22%。因此，對于在日常工作時共享大量此類文件的企業(yè)來說，它們尤其具有隱蔽性。近年來，不法分子開始更有針對性的分析企業(yè)如何掃描下載文件，而 PDF 因其高成功率正成為首選的切入點。

威脅方使用復(fù)雜的反制措施繞過檢測，使得這些攻擊越來越難以發(fā)現(xiàn)和阻止。過去一年中，Check Point Research（CPR）監(jiān)測到大量未被傳統(tǒng)安全手段檢測到的惡意攻擊。它們?nèi)绾味氵^傳統(tǒng)安全措施？Check Point安全解決方案如何針對這些難以捉摸的威脅提供實時、零時差保護，并阻止源自PDF的攻擊鏈？Check Point公司的安全專家通過本文分享了答案。

PDF 為何成為網(wǎng)絡(luò)犯罪分子的主要目標(biāo)？

不同于使用時的便捷體驗，事實上PDF 的機制與生態(tài)相當(dāng)復(fù)雜。（PDF 規(guī)范（ISO 32000）長達近 1000 頁）這種復(fù)雜性為許多攻擊載體打開了大門，而某些安全系統(tǒng)并不具備檢測這些載體的能力。對用戶來說使用簡單，對安全系統(tǒng)來說復(fù)雜，這種獨特的組合使惡意 PDF 對不法分子具有強大的吸引力。

近年來，惡意 PDF 的復(fù)雜程度不斷提高。過去，網(wǎng)絡(luò)犯罪分子利用 PDF 閱讀器中的已知漏洞（CVE）來利用軟件中的缺陷。然而，隨著 PDF 閱讀器變得更加安全并經(jīng)常更新（特別是瀏覽器現(xiàn)在默認(rèn)打開 PDF），這種攻擊方法在大規(guī)模活動中已不再可靠。

依賴 PDF 中嵌入的 JavaScript 或其他動態(tài)內(nèi)容的攻擊雖然仍然普遍，但已變得不那么常見?；?JavaScript 的攻擊往往比較 "簡單"，更容易被安全解決方案檢測到。Check Point Research 發(fā)現(xiàn)，大多數(shù)基于 JavaScript 的所謂 "漏洞 "在不同的 PDF 閱讀器中都不可靠，許多安全廠商都能捕捉到它們。 因此，威脅行為者不得不改變策略?，F(xiàn)在，許多攻擊不再使用復(fù)雜的漏洞利用，而是依靠一種更簡單但有效的方法--社會工程學(xué)。

網(wǎng)絡(luò)罪犯經(jīng)常利用 PDF 文件進行網(wǎng)絡(luò)釣魚，因為這種格式被普遍認(rèn)為安全級別較高。這些文件通常被視為真正的文檔，是隱藏有害鏈接、代碼或其他惡意內(nèi)容的靈活容器。攻擊者利用用戶對 PDF 附件的熟悉程度，采用社會工程學(xué)策略，增加了欺騙收件人的機會。此外，PDF 文件還能逃過電子郵件安全系統(tǒng)的眼睛，因為這些系統(tǒng)更注重在其他類型的文件中發(fā)現(xiàn)威脅。

Check Point近期分享了一些攻擊實例，其中 PDF 包含一個指向惡意網(wǎng)站或網(wǎng)絡(luò)釣魚頁面的鏈接。雖然這種技術(shù)的技術(shù)含量相對較低，但它的簡單性使自動系統(tǒng)更難發(fā)現(xiàn)。攻擊者的目的是讓受害者點擊鏈接，從而啟動攻擊鏈。

PDF 攻擊戰(zhàn)役剖析

Check Point Research觀察到的最常見的PDF攻擊技術(shù)之一是基于鏈接的攻擊活動。這些活動簡單而有效。它們通常包含一個指向釣魚網(wǎng)站或惡意文件下載的 PDF 鏈接。通常，鏈接會附帶一張圖片或一段文字，目的是引誘受害者點擊。這些圖片通常模仿亞馬遜、DocuSign 或 Acrobat Reader 等可信品牌，使文件乍看之下無害。

使這些攻擊難以被發(fā)現(xiàn)的原因是，攻擊者控制著鏈接、文本和圖片的所有方面，因此很容易改變其中的任何元素。盡管這些攻擊涉及人與人之間的交互 （受害者必須點擊鏈接），但這往往是攻擊者的優(yōu)勢，因為沙箱和自動檢測系統(tǒng)很難完成需要人類決策的任務(wù)。

威脅行為者使用的規(guī)避技術(shù)

不法分子不斷調(diào)整自己的技術(shù)，以逃避安全系統(tǒng)的檢測。這些技術(shù)顯示了對不同檢測方法工作原理的深刻理解，它們往往是為繞過特定工具而量身定制的。

URL 規(guī)避技術(shù)

PDF 文件可能是惡意軟件的最明顯線索就是其中包含的鏈接。為了避免被檢測到，威脅者會使用一系列 URL 規(guī)避技術(shù)，例如

· 使用良性重定向服務(wù)：攻擊者通常使用眾所周知的重定向服務(wù)（如必應(yīng)、LinkedIn 或 Google 的 AMP URL）來掩蓋惡意鏈接的真實目的地。這些服務(wù)通常被安全廠商列入白名單，從而使基于 URL 信譽的系統(tǒng)更難檢測到威脅。

· QR 碼：另一種技術(shù)是在 PDF 文件中嵌入 QR 碼，鼓勵受害者用手機掃描。這種方法完全繞過了傳統(tǒng)的 URL 掃描儀，為攻擊增加了額外的復(fù)雜性。

· 電話詐騙：在某些情況下，攻擊者依靠社會工程學(xué)促使受害者撥打電話號碼。這種方法完全不需要可疑的 URL，但需要大量的人際互動。因此，這類釣魚郵件往往是電話詐騙的初始步驟。

靜態(tài)分析規(guī)避

PDF 文件結(jié)構(gòu)復(fù)雜，許多安全工具依靠靜態(tài)分析來檢測惡意活動。然而，這種方法并不總能有效對付基于 PDF 的復(fù)雜攻擊。攻擊者可以混淆文件內(nèi)容，使安全工具難以對其進行分析。

例如，PDF 文件使用注釋來定義可點擊區(qū)域（如鏈接），但這些注釋的編碼方式可能讓靜態(tài)分析工具難以識別。攻擊者甚至可能利用 PDF 閱讀器在解釋這些注釋時的細(xì)微差別，導(dǎo)致自動系統(tǒng)錯過惡意意圖。

機器學(xué)習(xí)的漏洞

隨著安全系統(tǒng)越來越依賴機器學(xué)習(xí)（ML）來檢測威脅，攻擊者也在想方設(shè)法躲避這些模型。一種常見的技術(shù)是在圖像中嵌入文本，而不是使用標(biāo)準(zhǔn)文本格式，從而迫使安全系統(tǒng)依賴光學(xué)字符識別（OCR）來提取文本，使其更容易出錯和延遲。攻擊者甚至可能篡改圖像，使用低質(zhì)量文件或以微妙的方式更改字符，以混淆 OCR 軟件。

除此之外，攻擊者還可能添加不可見或極小的文本來欺騙自然語言處理（NLP）模型，使安全系統(tǒng)更難理解文檔的真實意圖。

如何防范基于 PDF 的攻擊

Check Point Threat Emulation 和 Harmony Endpoint 針對各種攻擊策略、文件類型和操作系統(tǒng)提供強大的保護，可抵御上文詳述的各種威脅。

同時，企業(yè)應(yīng)加強員工的安全意識，采取一些切實可行的措施來降低風(fēng)險：

● 始終核實發(fā)件人

即使 PDF 看起來合法，也要仔細(xì)檢查發(fā)件人的電子郵件地址。網(wǎng)絡(luò)犯罪分子通常會偽造知名品牌或同事，騙取您對文件的信任。

● 謹(jǐn)慎使用附件

如果您沒有想到會收到 PDF 文件，尤其是提示您點擊鏈接、掃描二維碼或撥打電話的 PDF 文件，請將其視為可疑文件。如有疑問，請勿點擊鏈接或文件。

● 點擊前懸停

在點擊 PDF 中的任何鏈接之前，請將鼠標(biāo)懸停在該鏈接上，以查看完整的 URL。對縮短鏈接或使用必應(yīng)、LinkedIn 或 Google AMP 等重定向服務(wù)的鏈接要謹(jǐn)慎。

● 使用安全的 PDF 查看器

現(xiàn)代瀏覽器和 PDF 閱讀器通常具有內(nèi)置安全功能。保持它們的最新版本，避免在未升級或過時的軟件中打開 PDF。

● 禁用 PDF 閱讀器中的 JavaScript

如果 PDF 閱讀器支持 JavaScript（很多都支持），除非絕對必要，否則請禁用它。這樣可以降低基于腳本的漏洞利用風(fēng)險。

● 不斷更新系統(tǒng)和安全工具

確保定期更新操作系統(tǒng)、瀏覽器和殺毒軟件。補丁通常會修復(fù)惡意 PDF 中的漏洞。

● 相信自己的直覺

如果一個 PDF 文件看起來好得不像真的，有不尋常的格式和錯別字，或者要求提供證書，那么它很可能是一個陷阱。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！