[[396209]]

概述

2019-2020年間，Palo Alto Networks安全團(tuán)隊(duì)檢測到的惡意PDF文件從411,800個(gè)激增到5224,056個(gè)，增幅高達(dá)1,160%。PDF文件有跨平臺及便于交互的特點(diǎn)，常被用作釣魚活動的載體，相較傳統(tǒng)的“純文本+鏈接”形式的釣魚郵件也更容易讓受害者放松警惕。釣魚PDF文件會以各種形式吸引受害者點(diǎn)擊，Palo Alto Networks總結(jié)了2020年釣魚攻擊中PDF文件使用的五大套路，分別為：假驗(yàn)證碼、優(yōu)惠券、假播放圖標(biāo)、文件共享和電子商務(wù)。

數(shù)據(jù)概覽

2020年，我們觀察到了超過500萬個(gè)惡意PDF文件。表1顯示了與2019年與2020年數(shù)據(jù)的比較。

表1. 2019和2020年惡意PDF樣本數(shù)據(jù)比對

圖1所示的餅圖概述了惡意PDF樣本中主要類別的分布占比，可以看出假冒驗(yàn)證碼的形式占比最高，達(dá)到了38.67%。下文將細(xì)述各個(gè)類別的主要形式，“其他”類別的內(nèi)容不在探討范疇內(nèi)，它們變化類型比較多，沒有共同主題，很難歸納分類。

圖1. 2020年惡意PDF樣本中主要類別的分布占比

流量重定向的使用

在回顧不同的PDF釣魚活動之前，我們先討論流量重定向的重要性。釣魚PDF文件中的嵌入式鏈接通常會先轉(zhuǎn)到正規(guī)的門戶網(wǎng)站，再重定向到惡意站點(diǎn)，攻擊者很少會直接嵌入釣魚網(wǎng)站鏈接，否則會大幅增加網(wǎng)站被關(guān)閉的風(fēng)險(xiǎn)。此外，重定向技術(shù)能讓攻擊者根據(jù)自身需求更改最終釣魚站點(diǎn)，比如將最后的網(wǎng)站從竊取證書的網(wǎng)站更改為信用卡欺詐網(wǎng)站等。

PDF文件的網(wǎng)絡(luò)釣魚趨勢

我們從調(diào)查樣本中歸納了攻擊者最常使用的前五種釣魚方案，接下來進(jìn)行細(xì)述。

1.偽造驗(yàn)證碼

顧名思義，此類PDF文件要求用戶通過偽造的驗(yàn)證碼進(jìn)行驗(yàn)證。驗(yàn)證碼是質(zhì)詢響應(yīng)測試，可幫助確定用戶是否為人類，我們觀察到的此類PDF文件并沒有使用真正的驗(yàn)證碼，而都是使用了嵌入的驗(yàn)證碼圖像。一旦用戶試圖通過點(diǎn)擊“繼續(xù)”按鈕來“驗(yàn)證”自己，就會被帶到攻擊者控制的網(wǎng)站。圖2顯示了嵌入式假驗(yàn)證碼的PDF文件示例。文件的完整攻擊鏈的詳細(xì)分析參見后文假驗(yàn)證碼分析部分。

圖2.嵌入式假驗(yàn)證碼釣魚PDF示例

2.優(yōu)惠券

這類釣魚文件以優(yōu)惠券為主題，我們觀察到的樣本大多都帶有著名石油公司的徽標(biāo)，且文件中俄語比例占比很高，圖3顯示了這類釣魚PDF文件的示例：

圖3.具有著名石油公司徽標(biāo)的釣魚PDF文件，圖中文字要求用戶單擊圖片

通過分析其中的幾個(gè)樣本，發(fā)現(xiàn)它們使用了兩個(gè)流量重定向器。圖4顯示了其中一個(gè)樣本鏈。

圖4.優(yōu)惠券主題樣本的攻擊鏈

用戶在某門戶網(wǎng)站被重定向到站點(diǎn)(track [.] backtoblack.xyz)，該網(wǎng)站本身就是重定向器，最終通過GET請求導(dǎo)向到某成人約會網(wǎng)站，如圖5所示。所有這些重定向都是通過HTTP 302響應(yīng)消息發(fā)生。進(jìn)一步發(fā)現(xiàn)，backtoblack[.]xyz的offer_id參數(shù)最終控制用戶訪問的網(wǎng)站。

圖5.將用戶吸引到成人約會網(wǎng)站的注冊頁面上的PDF示例

3.帶有假播放按鈕的靜態(tài)圖像

這類網(wǎng)絡(luò)釣魚文件大多是帶有播放按鈕的靜態(tài)圖像，其中很大一部分使用了裸露圖像或比特幣、股票圖表等誘使用戶單擊播放按鈕。圖6顯示了帶有比特幣標(biāo)志和播放按鈕的PDF文件。

[[396213]]

圖6.帶有播放按鈕的比特幣圖

在點(diǎn)擊play按鈕時(shí)，用戶被重定向到另一個(gè)網(wǎng)站。在大多數(shù)測試中，重定向到的站點(diǎn)都是https://gerl-s[.]online/?s1=ptt1，也是個(gè)在線約會網(wǎng)站。與先前的活動不同的是，這里只涉及一個(gè)重定向器，并且所有重定向器的格式為：6位字母數(shù)字唯一標(biāo)識，后跟一個(gè)主域，如下所示。

http://pn9yozq[.]sed.notifyafriend.com/

http://l8cag6n[.]sed.theangeltones.com/

http://9ltnsan[.]sed.roxannearian.com/

http://wnj0e4l[.]sed.ventasdirectas.com/

http://x6pd3rd[.]sed.ojjdp.com/

http://ik92b69[.]sed.chingandchang.com/

http://of8nso0[.]sed.lickinlesbians.com/

4.文件共享

圖7.帶有某文件共享平臺圖標(biāo)的網(wǎng)絡(luò)釣魚PDF，要求用戶單擊進(jìn)行訪問

此類網(wǎng)絡(luò)釣魚PDF文件利用流行在線文件共享服務(wù)來誘騙用戶。攻擊者通知用戶有人與他共享了文檔，但由于文件顯示異常，用戶看不到內(nèi)容，需要單擊嵌入的按鈕或鏈接。圖7顯示了一個(gè)帶有Dropbox標(biāo)志的PDF文件，要求用戶單擊按鈕以請求訪問。圖8顯示了帶有OneDrive標(biāo)志的PDF文件圖片，要求用戶單擊“Access Document”以查看文件的內(nèi)容。隨著基于云的文件共享服務(wù)數(shù)量的增加，這類威脅也處于快速增長的階段。

圖8.要求用戶點(diǎn)擊“Access Document”來查看共享文件的釣魚PDF文件

用戶單擊“Access Document”后，網(wǎng)站跳轉(zhuǎn)到Atlassian登錄頁面，如圖9所示。有兩個(gè)選項(xiàng)可用于登錄：Microsoft電子郵件或其他電子郵件服務(wù)。

圖9.釣魚網(wǎng)站要求用戶選擇登錄方式

Atlassian Stack是面向企業(yè)的，因此可以預(yù)設(shè)這類釣魚針對的是企業(yè)用戶。偽造的登錄頁面看上去與真實(shí)網(wǎng)站的登錄頁面無異，但URL會提示頁面非法，如圖10所示。

圖10.Microsoft的偽造登錄頁面，URL顯示該頁面非法

用戶輸入電子郵件地址后，會跳轉(zhuǎn)到另一個(gè)頁面要求輸入密碼，如圖11所示。

圖11.偽造的輸入密碼頁面，URL指示該頁面為欺詐站點(diǎn)

竊取的憑證通過GET請求中的參數(shù)發(fā)送到攻擊者的服務(wù)器上，如圖12所示。

圖12.憑據(jù)通過GET請求提交給攻擊者的服務(wù)器

5.電子商務(wù)

以電子商務(wù)為主題的釣魚郵件中并不是什么新鮮事，但在整體數(shù)量上呈上升趨勢。圖13顯示了一個(gè)釣魚PDF文件示例，內(nèi)容是通知用戶其信用卡不再有效，需要“更新付款信息”才能不中斷其Amazon Prime權(quán)益。圖14類似，告知用戶需要單擊鏈接來更新信息，否則將其Apple ID帳戶暫停。

圖13.通知用戶信用卡不再有效的釣魚PDF文件示例

圖14.告知用戶需要單擊鏈接來更新信息的釣魚PDF文件示例

這些以電子商務(wù)為主題的PDF文件大多數(shù)都使用https://t.umblr[.]com/進(jìn)行重定向。

假驗(yàn)證碼分析

在2020年的網(wǎng)絡(luò)釣魚PDF文件中，有近40%屬于偽造的驗(yàn)證碼類別。圖15顯示了偽造的驗(yàn)證碼樣本(SHA256：21f225942de6aab545736f5d2cc516376776d3f3080de21fcb06aa71749fc18f)的十六進(jìn)制內(nèi)容?？梢钥吹絇DF文件具有一個(gè)嵌入式的統(tǒng)一資源標(biāo)識符(URI)，該標(biāo)識符指向https://ggtraff[.]ru/pify?keyword=download+limbo+apk+full+game的流量重定向器。如前所述，流量重定向網(wǎng)站并不指向一個(gè)固定的網(wǎng)站，它們經(jīng)常將用戶重定向到不同的網(wǎng)站。

圖15.假驗(yàn)證碼示例中的嵌入式URL

圖16是我們在一次嘗試中從上述URI獲得的HTTP響應(yīng)主體。重定向器返回的響應(yīng)是一個(gè)小的JavaScript代碼存根，可再次重定向用戶，但這一次是： https://robotornotcheckonline[.]xyz/?p=miywentfmi5gi3bpgizdqnzv&sub1=wbly&sub3=1h6oih4jofeu&sub4=download+limbo+apk+full+game。

圖16.將用戶重定向到robotornotcheckonline.xyz的URL

圖16中的鏈接響應(yīng)是一個(gè)多功能JavaScript代碼，如圖17所示。

圖17.要求用戶訂閱推送通知的JavaScript代碼

上面列出的代碼注冊了瀏覽器推送通知。Mozilla對瀏覽器推送通知的描述如下：“ Notifications API允許網(wǎng)頁或應(yīng)用發(fā)送在系統(tǒng)級別顯示在頁面外的通知;這樣一來，即使應(yīng)用程序處于空閑狀態(tài)或在后臺，Web應(yīng)用程序也可以將信息發(fā)送給用戶。”圖18顯示了在瀏覽器中訪問網(wǎng)站時(shí)的許可請求。

圖18. robotornotcheckonline [.] xyz要求用戶訂閱其推送通知

單擊“允許”，用戶被重定向到另一個(gè)網(wǎng)站，要求他們訂閱另一個(gè)推送通知。當(dāng)用戶同意并訂閱推送通知時(shí)，將調(diào)用圖17中的函數(shù)SubS()，函數(shù)發(fā)送POST請求讓控制器知道用戶已訂閱。圖19顯示了特定的POST請求?？梢钥吹剑幸恍﹨?shù)具有唯一的值，如“key”和“secret”。

圖19. POST請求通知控制器用戶已訂閱通知

這種循環(huán)可以持續(xù)幾次，需要注意的是，該站點(diǎn)并不一定要在瀏覽器中打開才能彈出通知。攻擊鏈完成后，我們注意到瀏覽器中注冊了兩個(gè)推送通知，如圖20所示，用于未來彈出廣告網(wǎng)站和擴(kuò)展安裝。

圖20.假驗(yàn)證碼樣本注冊了兩個(gè)推送通知

最后，我們登陸了一個(gè)在線游戲網(wǎng)站。使用了以下HTTP GET請求：

https://promo[.]???.com/glows-27628/na-en/?pub_id=1374&xid=600889fbf85ac2000110370d&xid_param1=3047954&xid_param_2=&sid=SIDQVeAYOu1UbRxwVV690c-yVM5sWOOfDAb7-h_jd_AIcFGJbFBhqkUXwCszxjNr_9eJ1uoX1OdKr3vILRvqtbg9mcdeMNy5zbavbbqOxtJwEYgn1l5htPFMCsWv3Ft45e5BLHmpA0DQLcy&enctid=c8o8xirbufyh&lpsn=WOWS+TMPLT1+CODE+BOOM+global&foris=1&utm_source=wlap&utm_medium=affiliate&utm_campaign=qmk1qpm1&utm_content=1374

上述GET請求涉及很多參數(shù)，我們假設(shè)攻擊者就是通過這種方式產(chǎn)生收入的。這些標(biāo)識符能告訴網(wǎng)站所有者用戶的到達(dá)路徑，攻擊者則從中獲得相應(yīng)傭金。Urchin跟蹤模塊參數(shù)也用于評估這種“營銷”方法的有效性。為了保持收入流，而不是一次性點(diǎn)擊，攻擊者使用通知機(jī)制欺騙訂閱用戶點(diǎn)擊更多鏈接，從而產(chǎn)生更多收入。如前所述，假驗(yàn)證碼釣魚樣本具有的嵌入鏈接指向流量重定向網(wǎng)站，在每次訪問時(shí)將用戶重定向到其他網(wǎng)站。為了更好地了解這些釣魚文件還能將我們引向何處，我們多訪問了幾次。在其中一個(gè)案例中，有一個(gè)頁面要求訂閱推送通知，還被要求下載谷歌Chrome擴(kuò)展，如圖21所示。

圖21.重定向網(wǎng)站要求訂閱用戶推送通知并下載Chrome擴(kuò)展程序

單擊“添加到Chrome”后，跳轉(zhuǎn)到了Chrome網(wǎng)上應(yīng)用店(CWS)。圖22顯示了CWS上的擴(kuò)展，下載量超過一千。

圖22. HDSportSearch插件，在Chrome網(wǎng)上應(yīng)用店的下載次數(shù)超過1000

下載并分析了擴(kuò)展程序后，捆綁在擴(kuò)展程序包中的manifest.json文件表明，HDSportSearch擴(kuò)展程序是一個(gè)搜索引擎劫持者，它覆蓋了瀏覽器的搜索引擎默認(rèn)值，如圖23所示。

圖23. HDSportSearch插件的manifest.json會覆蓋Chrome的設(shè)置

圖24總結(jié)了我們能夠使用偽造的驗(yàn)證碼查找PDF仿冒文件的路徑。

圖24.帶有假驗(yàn)證碼的PDF可以采取的路徑和操作

結(jié)論

我們介紹了2020年最常見的基于PDF的網(wǎng)絡(luò)釣魚活動及其分發(fā)情況。近年來的數(shù)據(jù)表明，網(wǎng)絡(luò)釣魚攻擊的數(shù)量持續(xù)增加，社交工程是攻擊者利用用戶的主要媒介。先前的研究表明，大型網(wǎng)絡(luò)釣魚活動的點(diǎn)擊率最高可達(dá)8%。因此，用戶需要提高警惕，仔細(xì)驗(yàn)證意外收到的文件，哪怕這些文件打著知名網(wǎng)站的旗號也是如此。

本文翻譯自：https://unit42.paloaltonetworks.com/phishing-trends-with-pdf-files/如若轉(zhuǎn)載，請注明原文地址。