簡介
朋友圈都在流傳下面這個截圖
關於 EDR 與 VPN 相關整改建議的pdf的行為分析。很好奇,於是找來團隊內大佬要一份樣本,開始分析
解析pdf
首先使用PDF Stream Dumper(http://sandsprite.com/blogs/index.php?uid=7&pid=57) 查看解析pdf文件
當然,后面如果遇到可疑樣本,都可以用該工具簡單分析一下pdf文件。
溢出漏洞
首先我們點擊Exploits_scan,查看一下pdf有沒有利用溢出等漏洞的地方。結果如圖,沒有任何問題
JavaScript 代碼
點擊左側每個object查看,結果如圖,還是沒有
看來結論已經的得出,該pdf沒有問題。下面我們使用在線沙箱加載該pdf
在線沙箱運行
在這里我使用 any.run 在線沙箱。有需要的朋友可以使用,完全免費。
點擊New task,在對話框中上傳pdf文件。然后點擊Run運行即可。
分析完成界面如下所示
下面我們分別來解釋下分析結果
網絡請求
我們可以點擊下面的http request或者connectiion 查看進程的網絡連接。當然,在這里則是加載該pdf的進行
發起請求的進程,通過谷歌查找,如下
請求的內容,也都與adobe有關。沒有任何shellcode下載行為
進程信息
在這里,我們可以看到所有的進程信息。乍一看,該pdf啟動了很多進程。但是實際上,則都是adobe加載一個pdf所必須的進程。我們可以點擊一個進程,查看more info,如圖
在這里,則會看到每個進程的詳細信息,包括文件讀寫情況,注冊表獨寫情況,網絡io請求等等一切信息。如圖
也沒有發現任何有問題的地方。
IOC
any.run可以將網絡請求與惡意ip庫相關聯。我們查看一下該樣本的IOC
依舊沒問題
結論
但是上面朋友圈流傳的圖又是怎么回事呢?仔細一看,原來都是adobe創建的進程哇。。。。這是誰家的沙箱,看起來有點不太好用的樣子。。。
該pdf任何問題都沒有,所以同志們一定要把在線沙箱玩明白。不要看見風就是雨,總想搞個大新聞。一定要分析,分析,分析
關鍵點:一定要找一個能看清行為的在線沙箱,在這里我推薦
hw期間,如有可疑樣本,歡迎后台發送給我們團隊
歡迎關注 寬字節安全 公眾號
