关于 PDF相关整改建议的pdf后门事件分析

简介

朋友圈都在流传下面这个截图

关于 EDR 与 VPN 相关整改建议的pdf的行为分析。很好奇，于是找来团队内大佬要一份样本，开始分析

解析pdf

首先使用PDF Stream Dumper(http://sandsprite.com/blogs/index.php?uid=7&pid=57) 查看解析pdf文件

当然，后面如果遇到可疑样本，都可以用该工具简单分析一下pdf文件。

溢出漏洞

首先我们点击Exploits_scan，查看一下pdf有没有利用溢出等漏洞的地方。结果如图，没有任何问题

JavaScript 代码

点击左侧每个object查看，结果如图，还是没有

看来结论已经的得出，该pdf没有问题。下面我们使用在线沙箱加载该pdf

在线沙箱运行

在这里我使用 any.run 在线沙箱。有需要的朋友可以使用，完全免费。

点击New task，在对话框中上传pdf文件。然后点击Run运行即可。

分析完成界面如下所示

下面我们分别来解释下分析结果

网络请求

我们可以点击下面的http request或者connectiion 查看进程的网络连接。当然，在这里则是加载该pdf的进行

发起请求的进程，通过谷歌查找，如下

请求的内容，也都与adobe有关。没有任何shellcode下载行为

进程信息

在这里，我们可以看到所有的进程信息。乍一看，该pdf启动了很多进程。但是实际上，则都是adobe加载一个pdf所必须的进程。我们可以点击一个进程，查看more info，如图

在这里，则会看到每个进程的详细信息，包括文件读写情况，注册表独写情况，网络io请求等等一切信息。如图

也没有发现任何有问题的地方。

IOC

any.run可以将网络请求与恶意ip库相关联。我们查看一下该样本的IOC

依旧没问题

结论

但是上面朋友圈流传的图又是怎么回事呢？仔细一看，原来都是adobe创建的进程哇。。。。这是谁家的沙箱，看起来有点不太好用的样子。。。

该pdf任何问题都没有，所以同志们一定要把在线沙箱玩明白。不要看见风就是雨，总想搞个大新闻。一定要分析，分析，分析

关键点：一定要找一个能看清行为的在线沙箱，在这里我推荐

https://app.any.run/

hw期间，如有可疑样本，欢迎后台发送给我们团队

欢迎关注 宽字节安全 公众号