威胁行为者使用的规避技术
不法分子不断调整自己的技术,以逃避安全系统的检测。这些技术显示了对不同检测方法工作原理的深刻理解,它们往往是为绕过特定工具而量身定制的。
URL 规避技术
PDF 文件可能是恶意软件的最明显线索就是其中包含的链接。为了避免被检测到,威胁者会使用一系列 URL 规避技术,例如
· 使用良性重定向服务:攻击者通常使用众所周知的重定向服务(如必应、LinkedIn 或 Google 的 AMP URL)来掩盖恶意链接的真实目的地。这些服务通常被安全厂商列入白名单,从而使基于 URL 信誉的系统更难检测到威胁。
· QR 码:另一种技术是在 PDF 文件中嵌入 QR 码,鼓励受害者用手机扫描。这种方法完全绕过了传统的 URL 扫描仪,为攻击增加了额外的复杂性。
· 电话诈骗:在某些情况下,攻击者依靠社会工程学促使受害者拨打电话号码。这种方法完全不需要可疑的 URL,但需要大量的人际互动。因此,这类钓鱼邮件往往是电话诈骗的初始步骤。
静态分析规避
PDF 文件结构复杂,许多安全工具依靠静态分析来检测恶意活动。然而,这种方法并不总能有效对付基于 PDF 的复杂攻击。攻击者可以混淆文件内容,使安全工具难以对其进行分析。
例如,PDF 文件使用注释来定义可点击区域(如链接),但这些注释的编码方式可能让静态分析工具难以识别。攻击者甚至可能利用 PDF 阅读器在解释这些注释时的细微差别,导致自动系统错过恶意意图。
机器学习的漏洞
随着安全系统越来越依赖机器学习(ML)来检测威胁,攻击者也在想方设法躲避这些模型。一种常见的技术是在图像中嵌入文本,而不是使用标准文本格式,从而迫使安全系统依赖光学字符识别(OCR)来提取文本,使其更容易出错和延迟。攻击者甚至可能篡改图像,使用低质量文件或以微妙的方式更改字符,以混淆 OCR 软件。
除此之外,攻击者还可能添加不可见或极小的文本来欺骗自然语言处理(NLP)模型,使安全系统更难理解文档的真实意图。
如何防范基于 PDF 的攻击
Check Point Threat Emulation 和 Harmony Endpoint 针对各种攻击策略、文件类型和操作系统提供强大的保护,可抵御上文详述的各种威胁。
同时,企业应加强员工的安全意识,采取一些切实可行的措施来降低风险:
● 始终核实发件人
即使 PDF 看起来合法,也要仔细检查发件人的电子邮件地址。络犯罪分子通常会伪造知名品牌或同事,骗取您对文件的信任。
● 谨慎使用附件
● 点击前悬停
在点击 PDF 中的任何链接之前,请将鼠标悬停在该链接上,以查看完整的 URL。对缩短链接或使用必应、LinkedIn 或 Google AMP 等重定向服务的链接要谨慎。
● 使用安全的 PDF 查看器
现代浏览器和 PDF 阅读器通常具有内置安全功能。保持它们的最新版本,避免在未升级或过时的软件中打开 PDF。
● 禁用 PDF 阅读器中的 JavaScript
如果 PDF 阅读器支持 JavaScript(很多都支持),除非绝对必要,否则请禁用它。这样可以降低基于脚本的漏洞利用风险。
● 不断更新系统和安全工具
确保定期更新操作系统、浏览器和杀毒软件。补丁通常会修复恶意 PDF 中的漏洞。
● 相信自己的直觉
如果一个 PDF 文件看起来好得不像真的,有不寻常的格式和错别字,或者要求提供证书,那么它很可能是一个陷阱。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!