继上篇文章,我们发现使用Adobe打开PDF可导致电脑被远程控制《无法被拦截的PDF钓鱼》,而现在使用WPS的用户也面临同样的问题,赶紧一起来看下。
WPS-PDF注入
此方式由于无需利用漏洞,无需伪装,正常PDF 弹出一个对话框要求重定向到外部网站,引导用户下载所谓的插件,普通用户稍不留心就可能去下载并安装,导致电脑被远程操控,由于是日常工作的PDF文件,通常得以绕过各种安全防护,再加上木马的免杀,容易攻击成功。
技术采用
| 编号 | 技术 | 详细 |
|---|---|---|
| 1 | PDF注入 | 暂不公开 |
| 2 | 加载器 | 《间接系统调用APC注入EDR绕过免杀加载器》 |
| 3 | C2 | 《完全无法检测的CobaltStrike》 |
视频区域
注意事项
由此可见,WPS在PDF打开时,默认是允许, 且域名缩略显示,易被伪造。稍不注意就点击允许导致木马下载至本地,风险较大。
最后,还需提高信息安全意识,对来历不明的文件尽量不要去打开,即便是PDF。
推荐阅读
- 无法被拦截的PDF钓鱼
- 高级lnk快捷方式,常规杀毒软件无法拦截
- [bug修复]完全无法检测的CobaltStrike
- 完全无法检测的CobaltStrike
- 堆栈欺骗和内存扫描绕过
- 地狱之门进程注入官方免杀插件
- Beacon 命令和 OPSEC 操作绕过查杀
- 我有关于免杀的2个概念和3个误区要讲
- 间接系统调用APC注入EDR绕过免杀加载器
- 三步免杀卡巴斯基,免杀数字时长达一周以上
- 免杀HelloWorld,0/71通过所有杀软
欢迎点赞分享并留言,同时欢迎关注视频号。
