我們會(huì)經(jīng)常收到惡意文檔或PDF，許多不法分子往往利用這類(lèi)文件發(fā)動(dòng)網(wǎng)絡(luò)釣魚(yú)攻擊。為了讓更多人了解這種攻擊方式，并加以防范，網(wǎng)絡(luò)安全研究人員Zoziel Pinto Freire剖析了利用PDF發(fā)動(dòng)網(wǎng)絡(luò)釣魚(yú)攻擊的活動(dòng)。

圖1

圖1是Zoziel Pinto Freire收到的來(lái)自Caixa Economica Federal銀行的電子郵件，可以看到發(fā)件人使用Gmail服務(wù)和一個(gè)奇怪的名稱(chēng)。

圖2

使用MXtoolbox驗(yàn)證該電子郵件的標(biāo)頭，可以看到發(fā)件人(即攻擊者)使用的IP。

圖3

圖3是攻擊者使用的IP信譽(yù)。

圖4

通過(guò)圖4，我們可以看到這個(gè)IP經(jīng)常被提及從事惡意活動(dòng)。

圖5

在VPS(Kali Linux)中下載這個(gè)文件后，使用peepdf對(duì)文件結(jié)構(gòu)進(jìn)行分析，在對(duì)象3和對(duì)象5中找到了2個(gè)URI，見(jiàn)圖5。

圖6

使用pdf-parser檢查了對(duì)象3和對(duì)象5后，在對(duì)象3中發(fā)現(xiàn)了一個(gè)惡意的URL，見(jiàn)圖6。

圖7

在VirusTotal中檢查這個(gè)URL，發(fā)現(xiàn)其信譽(yù)仍然很差，見(jiàn)圖7。

圖8

在Kali中打開(kāi)文件后，可以看到它有那家銀行的獨(dú)特徽標(biāo)和點(diǎn)擊按鈕，點(diǎn)擊該按鈕后被定向到一個(gè)URL，見(jiàn)圖8。

圖9

點(diǎn)擊該按鈕后，URL：hxxp://cefonlineencaminha[.]z13[.[]web[.]core[.]windows[.]net重定向到另一個(gè)URL：ms[.]meuappavisos[.]com，見(jiàn)圖9。

圖10

在檢查了URL信譽(yù)之后，發(fā)現(xiàn)它經(jīng)常被提及從事惡意活動(dòng)，見(jiàn)圖10。

總之，打開(kāi)這類(lèi)電子郵件時(shí)，務(wù)必要注意每個(gè)細(xì)節(jié)，因?yàn)椴贿@樣的話(huà)可能會(huì)將自己的系統(tǒng)置于險(xiǎn)境，導(dǎo)致數(shù)據(jù)被泄露和遭到黑客入侵等。

Zoziel Pinto Freire在分析過(guò)程中使用的工具如下：

?Kali Linux——https://www.kali.org/get-kali/

?MX ToolBox—— https://mxtoolbox.com

?pdf-parser—— https://blog.didierstevens.com/programs/pdf-tools/

?peepdf——https://github.com/jesparza/peepdf

?Aubse IPd—— https://www.abuseipdb.com

?Virus Total——https://www.virustotal.com/

參考鏈接：

https://securityaffairs.co/wordpress/127946/hacking/analyzing-phishing-attacks-pdfs.html