我們會(huì)經(jīng)常收到惡意文檔或PDF�,許多不法分子往往利用這類文件發(fā)動(dòng)網(wǎng)絡(luò)釣魚攻擊。為了讓更多人了解這種攻擊方式����,并加以防范,網(wǎng)絡(luò)安全研究人員Zoziel Pinto Freire剖析了利用PDF發(fā)動(dòng)網(wǎng)絡(luò)釣魚攻擊的活動(dòng)���。
成都創(chuàng)新互聯(lián)公司成都網(wǎng)站建設(shè)按需規(guī)劃網(wǎng)站,是成都網(wǎng)站建設(shè)公司,為成都PVC花箱提供網(wǎng)站建設(shè)服務(wù),有成熟的網(wǎng)站定制合作流程�,提供網(wǎng)站定制設(shè)計(jì)服務(wù):原型圖制作、網(wǎng)站創(chuàng)意設(shè)計(jì)��、前端HTML5制作�、后臺(tái)程序開發(fā)等。成都網(wǎng)站設(shè)計(jì)熱線:18982081108
圖1
圖1是Zoziel Pinto Freire收到的來自Caixa Economica Federal銀行的電子郵件���,可以看到發(fā)件人使用Gmail服務(wù)和一個(gè)奇怪的名稱�����。
圖2
使用MXtoolbox驗(yàn)證該電子郵件的標(biāo)頭���,可以看到發(fā)件人(即攻擊者)使用的IP��。
圖3
圖3是攻擊者使用的IP信譽(yù)���。
圖4
通過圖4,我們可以看到這個(gè)IP經(jīng)常被提及從事惡意活動(dòng)�����。
圖5
在VPS(Kali Linux)中下載這個(gè)文件后�,使用peepdf對文件結(jié)構(gòu)進(jìn)行分析,在對象3和對象5中找到了2個(gè)URI��,見圖5����。
圖6
使用pdf-parser檢查了對象3和對象5后,在對象3中發(fā)現(xiàn)了一個(gè)惡意的URL�����,見圖6����。
圖7
在VirusTotal中檢查這個(gè)URL�,發(fā)現(xiàn)其信譽(yù)仍然很差�����,見圖7����。
圖8
在Kali中打開文件后,可以看到它有那家銀行的獨(dú)特徽標(biāo)和點(diǎn)擊按鈕�,點(diǎn)擊該按鈕后被定向到一個(gè)URL,見圖8��。
圖9
點(diǎn)擊該按鈕后���,URL:hxxp://cefonlineencaminha[.]z13[.[]web[.]core[.]windows[.]net重定向到另一個(gè)URL:ms[.]meuappavisos[.]com����,見圖9����。
圖10
在檢查了URL信譽(yù)之后���,發(fā)現(xiàn)它經(jīng)常被提及從事惡意活動(dòng)����,見圖10。
總之����,打開這類電子郵件時(shí),務(wù)必要注意每個(gè)細(xì)節(jié)�,因?yàn)椴贿@樣的話可能會(huì)將自己的系統(tǒng)置于險(xiǎn)境,導(dǎo)致數(shù)據(jù)被泄露和遭到黑客入侵等���。
Zoziel Pinto Freire在分析過程中使用的工具如下:
?Kali Linux——https://www.kali.org/get-kali/
?MX ToolBox—— https://mxtoolbox.com
?pdf-parser—— https://blog.didierstevens.com/programs/pdf-tools/
?peepdf——https://github.com/jesparza/peepdf
?Aubse IPd—— https://www.abuseipdb.com
?Virus Total——https://www.virustotal.com/
參考鏈接:
https://securityaffairs.co/wordpress/127946/hacking/analyzing-phishing-attacks-pdfs.html
文章標(biāo)題:基于惡意PDF文件的網(wǎng)絡(luò)釣魚攻擊實(shí)例解析
轉(zhuǎn)載注明:
http://uogjgqi.cn/article/ccspcjc.html
