После распаковки steel.zip нас встречает steel1.pdf, steel2.pdf, and steel.saz
Давайте сосредоточимся на steel1.pdf
Использование команды file вместе с trid дает мне уверенность, что мы работаем с настоящим PDF-файлом.
Используя VSCode для изучения этого PDF-файла, мы можем увидеть множество возможностей, за которыми следует остальная часть PDF-файла в необработанном виде, который не читается человеком.
Использование такого инструмента, как pdfid.py, может дать нам гораздо более привлекательный вывод всех возможностей PDF-файлов.
Аналитикам следует немедленно обратить внимание на подсчет возможностей PDF, которыми часто злоупотребляют вредоносные программы, такие как /URI, /AA, /JS, /OpenAction, /AcroForm и многие другие.
Когда мы хотим более подробно взглянуть на возможности файла, я рекомендую использовать pdf-parser.py (используйте -a, чтобы увидеть только статистику)
С самого начала мы видим, что используется множество /URI возможностей, 13, если быть точным, из этого представления выходных данных.
Когда мы используем pdf-parser.py с переключателем -s, мы можем найти объекты с определенным ключевым словом (/URI) в этом случае.
Используя этот метод, мы можем ограничить наш вывод с помощью команды more и получить хорошее представление о том, куда он пытается обратиться.
Если мы хотим объединить все выноски /URI за один раз, мы можем использовать переключатель -k.
Очевидно, что существует множество подозрительных URL-адресов, по которым жертва может щелкнуть (преднамеренно или непреднамеренно), а затем эта ссылка может вывести вторую стадию, то есть своего рода имплантат.
Однако, вернувшись назад, мы увидели /XObject в возможностях PDF-файлов, которые были раньше, то есть изображение, встроенное в PDF-файл.
Для просмотра конкретного номера объекта используйте параметр -o
Обратите внимание, что с помощью этого вывода мы можем видеть ширину и высоту рассматриваемого изображения.
Давайте извлечем изображение для большего контекста
Понятно, как это может заставить невольного пользователя щелкнуть приглашение reCAPTCHA.
Однако это онлайн-изображение никуда не денется в поисках дополнительной полезной нагрузки, давайте посмотрим на объекты, которые ссылаются на объект 6 (это изображение)
Основываясь на выводе этой команды, мы видим, что obj 13 на самом деле ссылается на obj 6.
Продолжайте идти по следу и посмотрим, на что ссылается obj 13
Из этого вывода мы видим вызов /Annots по адресу obj 14.
Это функция аннотации PDF-файлов, которая позволяет использовать такие вещи, как возможности всплывающих сообщений.
Давайте рассмотрим этот объект и посмотрим, куда он ведет
Мы видим, что в obj 14 нет ничего, кроме ссылки на obj 10, в который встроен наш подозрительный URI.
Таким образом, если наша жертва нажмет на изображение, которое мы извлекли ранее, она вызовет этот URL-адрес и предпримет неизвестные дальнейшие действия.
При просмотре PDF-файла при открытии он представляет собой двухстраничный документ с изображением на первой странице и гигантским текстом на второй, написанным очень мелким шрифтом. Кроме того, остальные ссылки вложены внизу, также мелким шрифтом. Это может привести нас к выводу, что текстовый блок предназначен для того, чтобы сбить с толку механизмы защиты от спама и позволить фишинговому сообщению пройти. Кроме того, ссылки, размещенные внизу вместе с текстом, наводят на мысль, что они должны были свести на нет любые усилия по анализу.
Хотя этот PDF-файл относительно прост с точки зрения анализа, многие из них не являются таковыми и могут содержать более коварные возможности, такие как встроенный шелл-код. Тем не менее, этот тип атаки по-прежнему может представлять серьезную опасность для вашей корпоративной среды. Поскольку устройства EDR с течением времени становятся все более совершенными, злоумышленники будут продолжать полагаться на использование человеческого фактора с помощью фишинга. Я надеюсь, что вы что-то вынесли из этой статьи, и я с нетерпением жду возможности погрузиться в более технически совершенные PDF-файлы в будущем!
