在前期的文章中,我们讲到了利用SET社工方式对目标的渗透。通过发送PDF WORD等文档从而获取目前权限。这种危害极大、且最容易得手。而作为普通用户,我们如何防范此类攻击呢?通过本文,让我们一起来学习吧!
如下图,攻击者通常会在邮件中,发送带有恶意代码的附件。

带有恶意代码的PDF文件
作为普通用户,我们怎样识别附件是否为恶意附件呢?这里为大家分享一款恶意PDF检测工具pdfid,使用也很简单。
pdfid xxx.pdf

如果一个PDF文件没有xref或者trailer关键字段,那么可以确定它不是恶意的PDF文件。同时,JS与JavaScript指明PDF文件中含嵌有JavaScript代码。通常恶意的PDF文件都嵌套有JavaScript代码。这也是判断是否为恶意文件的重要依据。
AA、OpenAction和AcroForm指明当查看PDF文件会自动执行JavaScript代码的动作。
总结
如果一个PDF文件包含有AA或OpenAction自动执行动作的关键字段,而且含有JavaScript代码,那么这个PDF文件就极有可能是恶意的PDF文件。
除了上面的判断方法之外,我们可以利用PDFParser这款工具来查看pdf中的恶意代码。
pdf-parser template.pdf

恶意代码的调用
因此,作为普通用户。要重视邮件钓鱼带来的危害。对于邮件中的附件,我们一定要确定邮件的来源,切莫打开来历不明的邮件。
BREAK AWAY