След разархивиране на steel.zip ни посреща с steel1.pdf, steel2.pdf, and steel.saz
Нека се съсредоточим върху steel1.pdf
Използването на командата file заедно с trid ми дава увереност, че работим с истински PDF файл
Използвайки VSCode, за да разгледаме този PDF, можем да видим куп възможности, последвани от останалата част от PDF в необработен вид, който не е четим от хора
Използването на инструмент като pdfid.py може да ни даде много по-красив резултат от всички възможности на PDF файловете
Нещо, което анализаторите трябва незабавно да усъвършенстват, е броят на PDF възможностите, които често се злоупотребяват от зловреден софтуер като /URI, /AA, /JS, /OpenAction, /AcroForm, само за да назовем няколко.
Когато искаме по-подробен поглед върху възможностите на файла, препоръчвам да използвате pdf-parser.py (използвайте -a, за да видите само статистика)
Веднага виждаме, че се използват много /URI възможности, 13, за да бъдем точни от този изглед на изхода.
Когато използваме pdf-parser.py с превключвателя -s, можем да локализираме обекти с конкретна ключова дума (/URI) в този случай
Използвайки този метод, можем да ограничим изхода си с командата more и да видим добре къде се опитва да достигне.
Ако искаме да обединим всички /URI допълнителни описания наведнъж, можем да използваме превключвателя -k
Очевидно има много подозрителни URL адреси, върху които жертвата може да щракне (преднамерено или по невнимание) и след това тази връзка може да доведе до втори етап, т.е. имплантиране от някакъв вид
Обръщайки се назад обаче, видяхме /XObject във възможностите на PDF файловете от преди, което е изображение, вградено в PDF
За преглед на конкретен номер на обект използвайте параметъра -o
Забележете, че с този изход можем да видим ширината и височината на въпросното изображение
Нека извлечем изображението за повече контекст
Ясно е да се види как това може да подмами неволен потребител да щракне върху подканата на reCAPTCHA
Въпреки това това изображение онлайн няма да достигне никъде, търсейки допълнителен полезен товар, нека да разгледаме обектите, които препращат към обект 6 (тази снимка)
Въз основа на горната част на изхода на тази команда можем да видим, че obj 13 всъщност препраща към obj 6
Продължете да следвате пътеката и нека видим какви препратки obj 13
От този резултат можем да видим обаждане до /Annots на obj 14
Това е функция за анотация на PDF файлове, която позволява неща като възможности за изскачащи съобщения
Нека разгледаме този обект и да видим накъде води
Можем да видим, че нищо не се съдържа в obj 14 извън него, препращащо към obj 10, което има нашия подозрителен URI, вграден в него.
По този начин, ако нашата жертва щракне върху изображението, което сме извлекли от преди, тя ще извика този URL адрес и ще предприеме неизвестни допълнителни действия.
Когато разглеждате PDF файла, като го отворите, той е документ от две страници с изображение на първата страница и огромно петно от текст на втората, което е с много малък шрифт. Освен това останалите връзки са вложени в долната част, също с малък шрифт. Това може да ни доведе до заключението, че петното от текст е предназначено да обърка анти-спам двигателите и да позволи на фишинг съобщението да премине. Освен това, връзките, които са поставени в долната част заедно с текста, карат човек да вярва, че те трябва да отхвърлят всякакви усилия за анализ.
Въпреки че този PDF е относително ясен по отношение на анализ, много от тях не са и могат да съдържат по-коварни възможности като вграден шелкод. Като се има предвид това, този тип атака все още може да представлява сериозен риск за вашата корпоративна среда. Тъй като EDR устройствата стават все по-напреднали с течение на времето, лошите участници ще продължат да разчитат на използването на човешкия фактор чрез фишинг. Надявам се, че сте взели нещо от тази статия и очаквам с нетърпение да се потопя в по-технически способни PDF файлове в бъдеще!
