关于 EDR 与 VPN 相关整改建议的pdf后门事件分析

简介

朋友圈都在流传下面这个截图

关于 EDR 与 VPN 相关整改建议的pdf的行为分析。很好奇,于是找来团队内大佬要一份样本,开始分析

解析pdf

首先使用PDF Stream Dumper(http://sandsprite.com/blogs/index.php?uid=7&pid=57) 查看解析pdf文件

当然,后面如果遇到可疑样本,都可以用该工具简单分析一下pdf文件。

溢出漏洞

首先我们点击Exploits_scan,查看一下pdf有没有利用溢出等漏洞的地方。结果如图,没有任何问题

JavaScript 代码

点击左侧每个object查看,结果如图,还是没有

看来结论已经的得出,该pdf没有问题。下面我们使用在线沙箱加载该pdf

在线沙箱运行

在这里我使用 any.run 在线沙箱。有需要的朋友可以使用,完全免费。

点击New task,在对话框中上传pdf文件。然后点击Run运行即可。

分析完成界面如下所示

下面我们分别来解释下分析结果

网络请求

我们可以点击下面的http request或者connectiion 查看进程的网络连接。当然,在这里则是加载该pdf的进行

发起请求的进程,通过谷歌查找,如下

请求的内容,也都与adobe有关。没有任何shellcode下载行为

进程信息

在这里,我们可以看到所有的进程信息。乍一看,该pdf启动了很多进程。但是实际上,则都是adobe加载一个pdf所必须的进程。我们可以点击一个进程,查看more info,如图

在这里,则会看到每个进程的详细信息,包括文件读写情况,注册表独写情况,网络io请求等等一切信息。如图

也没有发现任何有问题的地方。

IOC

any.run可以将网络请求与恶意ip库相关联。我们查看一下该样本的IOC

依旧没问题

结论

但是上面朋友圈流传的图又是怎么回事呢?仔细一看,原来都是adobe创建的进程哇。。。。这是谁家的沙箱,看起来有点不太好用的样子。。。

该pdf任何问题都没有,所以同志们一定要把在线沙箱玩明白。不要看见风就是雨,总想搞个大新闻。一定要分析,分析,分析

关键点:一定要找一个能看清行为的在线沙箱,在这里我推荐

https://app.any.run/

hw期间,如有可疑样本,欢迎后台发送给我们团队

1 个赞