简介
朋友圈都在流传下面这个截图
关于 EDR 与 VPN 相关整改建议的pdf的行为分析。很好奇,于是找来团队内大佬要一份样本,开始分析
解析pdf
首先使用PDF Stream Dumper(http://sandsprite.com/blogs/index.php?uid=7&pid=57) 查看解析pdf文件
当然,后面如果遇到可疑样本,都可以用该工具简单分析一下pdf文件。
溢出漏洞
首先我们点击Exploits_scan,查看一下pdf有没有利用溢出等漏洞的地方。结果如图,没有任何问题
JavaScript 代码
点击左侧每个object查看,结果如图,还是没有
看来结论已经的得出,该pdf没有问题。下面我们使用在线沙箱加载该pdf
在线沙箱运行
在这里我使用 any.run 在线沙箱。有需要的朋友可以使用,完全免费。
点击New task,在对话框中上传pdf文件。然后点击Run运行即可。
分析完成界面如下所示
下面我们分别来解释下分析结果
网络请求
我们可以点击下面的http request或者connectiion 查看进程的网络连接。当然,在这里则是加载该pdf的进行
发起请求的进程,通过谷歌查找,如下
请求的内容,也都与adobe有关。没有任何shellcode下载行为
进程信息
在这里,我们可以看到所有的进程信息。乍一看,该pdf启动了很多进程。但是实际上,则都是adobe加载一个pdf所必须的进程。我们可以点击一个进程,查看more info,如图
在这里,则会看到每个进程的详细信息,包括文件读写情况,注册表独写情况,网络io请求等等一切信息。如图
也没有发现任何有问题的地方。
IOC
any.run可以将网络请求与恶意ip库相关联。我们查看一下该样本的IOC
依旧没问题
结论
但是上面朋友圈流传的图又是怎么回事呢?仔细一看,原来都是adobe创建的进程哇。。。。这是谁家的沙箱,看起来有点不太好用的样子。。。
该pdf任何问题都没有,所以同志们一定要把在线沙箱玩明白。不要看见风就是雨,总想搞个大新闻。一定要分析,分析,分析
关键点:一定要找一个能看清行为的在线沙箱,在这里我推荐
https://app.any.run/
hw期间,如有可疑样本,欢迎后台发送给我们团队