在 2024 年全球范圍內，Adobe Acrobat 共打開了超過4000 億個 PDF文件，編輯了 160 億個文檔。 超過 87% 的機構使用 PDF 作為業(yè)務通信的標準文件格式。在我國，隨著企業(yè)數(shù)字化轉型的不斷落地，以及電子商務、電子政務的標準不斷完善，PDF也已成為用戶日常發(fā)送正式電子文書的優(yōu)選方式……正因如此，這使得 PDF 成為攻擊者隱藏惡意代碼的理想工具。多年來，惡意 PDF 一直是網(wǎng)絡犯罪分子最喜愛的途徑，在 2025 年，以PDF為載體的惡意攻擊將變得更加流行。

根據(jù) Check Point Research 的調查，68% 的惡意攻擊是通過電子郵件發(fā)送的，而基于 PDF 的攻擊目前占所有惡意電子郵件附件的 22%。因此，對于在日常工作時共享大量此類文件的企業(yè)來說，它們尤其具有隱蔽性。近年來，不法分子開始更有針對性的分析企業(yè)如何掃描下載文件，而 PDF 因其高成功率正成為優(yōu)選的切入點。

威脅方使用復雜的反制措施繞過檢測，使得這些攻擊越來越難以發(fā)現(xiàn)和阻止。過去一年中，Check Point Research（CPR）監(jiān)測到大量未被傳統(tǒng)安全手段檢測到的惡意攻擊。它們如何躲過傳統(tǒng)安全措施？Check Point安全解決方案如何針對這些難以捉摸的威脅提供實時、零時差保護，并阻止源自PDF的攻擊鏈？Check Point公司的安全專家通過本文分享了答案。

PDF 為何成為網(wǎng)絡犯罪分子的主要目標？

不同于使用時的便捷體驗，事實上PDF 的機制與生態(tài)相當復雜。（PDF 規(guī)范（ISO 32000）長達近 1000 頁）這種復雜性為許多攻擊載體打開了大門，而某些安全系統(tǒng)并不具備檢測這些載體的能力。對用戶來說使用簡單，對安全系統(tǒng)來說復雜，這種獨特的組合使惡意 PDF 對不法分子具有強大的吸引力。

近年來，惡意 PDF 的復雜程度不斷提高。過去，網(wǎng)絡犯罪分子利用 PDF 閱讀器中的已知漏洞（CVE）來利用軟件中的缺陷。然而，隨著 PDF 閱讀器變得更加安全并經(jīng)常更新（特別是瀏覽器現(xiàn)在默認打開 PDF），這種攻擊方法在大規(guī)?；顒又幸巡辉倏煽?。

依賴 PDF 中嵌入的 JavaScript 或其他動態(tài)內容的攻擊雖然仍然普遍，但已變得不那么常見?；?JavaScript 的攻擊往往比較 "簡單"，更容易被安全解決方案檢測到。Check Point Research 發(fā)現(xiàn)，大多數(shù)基于 JavaScript 的所謂 "漏洞 "在不同的 PDF 閱讀器中都不可靠，許多安全廠商都能捕捉到它們。 因此，威脅行為者不得不改變策略。現(xiàn)在，許多攻擊不再使用復雜的漏洞利用，而是依靠一種更簡單但有效的方法--社會工程學。

網(wǎng)絡罪犯經(jīng)常利用 PDF 文件進行網(wǎng)絡釣魚，因為這種格式被普遍認為安全級別較高。這些文件通常被視為真正的文檔，是隱藏有害鏈接、代碼或其他惡意內容的靈活容器。攻擊者利用用戶對 PDF 附件的熟悉程度，采用社會工程學策略，增加了欺騙收件人的機會。此外，PDF 文件還能逃過電子郵件安全系統(tǒng)的眼睛，因為這些系統(tǒng)更注重在其他類型的文件中發(fā)現(xiàn)威脅。

Check Point近期分享了一些攻擊實例，其中 PDF 包含一個指向惡意網(wǎng)站或網(wǎng)絡釣魚頁面的鏈接。雖然這種技術的技術含量相對較低，但它的簡單性使自動系統(tǒng)更難發(fā)現(xiàn)。攻擊者的目的是讓受害者點擊鏈接，從而啟動攻擊鏈。

PDF 攻擊戰(zhàn)役剖析

Check Point Research觀察到的最常見的PDF攻擊技術之一是基于鏈接的攻擊活動。這些活動簡單而有效。它們通常包含一個指向釣魚網(wǎng)站或惡意文件下載的 PDF 鏈接。通常，鏈接會附帶一張圖片或一段文字，目的是引誘受害者點擊。這些圖片通常模仿亞馬遜、DocuSign 或 Acrobat Reader 等可信品牌，使文件乍看之下無害。

使這些攻擊難以被發(fā)現(xiàn)的原因是，攻擊者控制著鏈接、文本和圖片的所有方面，因此很容易改變其中的任何元素。盡管這些攻擊涉及人與人之間的交互 （受害者必須點擊鏈接），但這往往是攻擊者的優(yōu)勢，因為沙箱和自動檢測系統(tǒng)很難完成需要人類決策的任務。

威脅行為者使用的規(guī)避技術

不法分子不斷調整自己的技術，以逃避安全系統(tǒng)的檢測。這些技術顯示了對不同檢測方法工作原理的深刻理解，它們往往是為繞過特定工具而量身定制的。

URL 規(guī)避技術

PDF 文件可能是惡意軟件的最明顯線索就是其中包含的鏈接。為了避免被檢測到，威脅者會使用一系列 URL 規(guī)避技術，例如

·使用良性重定向服務：攻擊者通常使用眾所周知的重定向服務（如必應、LinkedIn 或 Google 的 AMP URL）來掩蓋惡意鏈接的真實目的地。這些服務通常被安全廠商列入白名單，從而使基于 URL 信譽的系統(tǒng)更難檢測到威脅。

·QR 碼：另一種技術是在 PDF 文件中嵌入 QR 碼，鼓勵受害者用手機掃描。這種方法完全繞過了傳統(tǒng)的 URL 掃描儀，為攻擊增加了額外的復雜性。

·電話詐騙：在某些情況下，攻擊者依靠社會工程學促使受害者撥打電話號碼。這種方法完全不需要可疑的 URL，但需要大量的人際互動。因此，這類釣魚郵件往往是電話詐騙的初始步驟。

靜態(tài)分析規(guī)避

PDF 文件結構復雜，許多安全工具依靠靜態(tài)分析來檢測惡意活動。然而，這種方法并不總能有效對付基于 PDF 的復雜攻擊。攻擊者可以混淆文件內容，使安全工具難以對其進行分析。

例如，PDF 文件使用注釋來定義可點擊區(qū)域（如鏈接），但這些注釋的編碼方式可能讓靜態(tài)分析工具難以識別。攻擊者甚至可能利用 PDF 閱讀器在解釋這些注釋時的細微差別，導致自動系統(tǒng)錯過惡意意圖。

機器學習的漏洞

隨著安全系統(tǒng)越來越依賴機器學習（ML）來檢測威脅，攻擊者也在想方設法躲避這些模型。一種常見的技術是在圖像中嵌入文本，而不是使用標準文本格式，從而迫使安全系統(tǒng)依賴光學字符識別（OCR）來提取文本，使其更容易出錯和延遲。攻擊者甚至可能篡改圖像，使用低質量文件或以微妙的方式更改字符，以混淆 OCR 軟件。

除此之外，攻擊者還可能添加不可見或極小的文本來欺騙自然語言處理（NLP）模型，使安全系統(tǒng)更難理解文檔的真實意圖。

如何防范基于PDF的攻擊

Check PointThreat Emulation和Harmony Endpoint針對各種攻擊策略、文件類型和操作系統(tǒng)提供強大的保護，可抵御上文詳述的各種威脅。

同時，企業(yè)應加強員工的安全意識，采取一些切實可行的措施來降低風險：

●始終核實發(fā)件人

即使 PDF 看起來合法，也要仔細檢查發(fā)件人的電子郵件地址。網(wǎng)絡犯罪分子通常會偽造知名品牌或同事，騙取您對文件的信任。

●謹慎使用附件

如果您沒有想到會收到 PDF 文件，尤其是提示您點擊鏈接、掃描二維碼或撥打電話的 PDF 文件，請將其視為可疑文件。如有疑問，請勿點擊鏈接或文件。

●點擊前懸停

在點擊 PDF 中的任何鏈接之前，請將鼠標懸停在該鏈接上，以查看完整的 URL。對縮短鏈接或使用必應、LinkedIn 或 Google AMP 等重定向服務的鏈接要謹慎。

●使用安全的 PDF 查看器

現(xiàn)代瀏覽器和 PDF 閱讀器通常具有內置安全功能。保持它們的比較新版本，避免在未升級或過時的軟件中打開 PDF。

●禁用 PDF 閱讀器中的 JavaScript

如果 PDF 閱讀器支持 JavaScript（很多都支持），除非相對必要，否則請禁用它。這樣可以降低基于腳本的漏洞利用風險。

●不斷更新系統(tǒng)和安全工具

確保定期更新操作系統(tǒng)、瀏覽器和殺毒軟件。補丁通常會修復惡意 PDF 中的漏洞。

●相信自己的直覺

如果一個 PDF 文件看起來好得不像真的，有不尋常的格式和錯別字，或者要求提供證書，那么它很可能是一個陷阱。

（推廣）