从有针对性的 PDF 攻击到后门程序

今年 7 月 Adobe 报告称，一个针对 Adobe Reader攻击的Flash 漏洞被大加利用。Adobe Acrobat 9 支持在 PDF 文档中嵌入 Flash 影片。如果你希望在自己的文档中加上一点互动内容或培训视频，那么在 PDF 中显示 Flash 影片的“点子”真的不错。不过，从安全的角度看，这种做法给犯罪分子实施攻击以控制存在漏洞的系统提供了可乘之机。历史数据显示，与复杂性和功能增强相伴相随的往往是可被远程操控的漏洞。令人遗憾的是，这一论点再次在这一最新的 PDF 功能中被验证。

这种漏洞攻击依然在延续。下面这张图片截取自一个此类恶意 PDF 文档，是在本周检测到的一个有针对性攻击中被发现的。这一攻击包含若干压缩流以及至少两段嵌入式 Flash 影片。第一段 Flash 影片完全无害，而第二段影片则利用了 CVE-ID 2009-1862，会导致内存损坏和执行攻击者的代码。在压缩层下，JavaScript 代码被嵌入 PDF 文档中。该代码会用攻击者的 Shellcode 来填充内存。除了 PDF 可作为围绕攻击的额外“迷惑层”(Obfuscation Layer)外，JavaScript 代码一旦被解压，它包含另一个函数用于避开检测。