在2024年全球范圍內，Adobe Acrobat 共打開了超過 4000 億個 PDF 文件，編輯了 160 億個文檔。  超過 87% 的機構使用 PDF 作為業務通信的標準文件格式。在我國，隨著企業數字化轉型的不斷落地，以及電子商務、電子政務的標準不斷完善，PDF也已成為用戶日常發送正式電子文書的首選方式……正因如此，這使得 PDF 成為攻擊者隱藏惡意代碼的理想工具。多年來，惡意 PDF 一直是網絡犯罪分子最喜愛的途徑，在2025年，以PDF為載體的惡意攻擊將變得更加流行。

根據 Check Point Research 的調查，68% 的惡意攻擊是通過電子郵件發送的，而基于 PDF 的攻擊目前占所有惡意電子郵件附件的 22%。因此，對于在日常工作時共享大量此類文件的企業來說，它們尤其具有隱蔽性。近年來，不法分子開始更有針對性的分析企業如何掃描下載文件，而 PDF 因其高成功率正成為首選的切入點。

威脅方使用復雜的反制措施繞過檢測，使得這些攻擊越來越難以發現和阻止。過去一年中，Check Point Research（CPR）監測到大量未被傳統安全手段檢測到的惡意攻擊。它們如何躲過傳統安全措施？Check Point安全解決方案如何針對這些難以捉摸的威脅提供實時、零時差保護，并阻止源自PDF的攻擊鏈？Check Point公司的安全專家通過本文分享了答案。

PDF 為何成為網絡犯罪分子的主要目標？

不同于使用時的便捷體驗，事實上PDF 的機制與生態相當復雜。（PDF 規范（ISO 32000）長達近 1000 頁）這種復雜性為許多攻擊載體打開了大門，而某些安全系統并不具備檢測這些載體的能力。對用戶來說使用簡單，對安全系統來說復雜，這種獨特的組合使惡意 PDF 對不法分子具有強大的吸引力。

近年來，惡意 PDF 的復雜程度不斷提高。過去，網絡犯罪分子利用 PDF 閱讀器中的已知漏洞（CVE）來利用軟件中的缺陷。然而，隨著 PDF 閱讀器變得更加安全并經常更新（特別是瀏覽器現在默認打開 PDF），這種攻擊方法在大規模活動中已不再可靠。

依賴 PDF 中嵌入的 JavaScript 或其他動態內容的攻擊雖然仍然普遍，但已變得不那么常見�；�于 JavaScript 的攻擊往往比較 "簡單"，更容易被安全解決方案檢測到。Check Point Research 發現，大多數基于 JavaScript 的所謂 "漏洞 "在不同的 PDF 閱讀器中都不可靠，許多安全廠商都能捕捉到它們。 因此，威脅行為者不得不改變策略�，F在，許多攻擊不再使用復雜的漏洞利用，而是依靠一種更簡單但有效的方法--社會工程學。

網絡罪犯經常利用 PDF 文件進行網絡釣魚，因為這種格式被普遍認為安全級別較高。這些文件通常被視為真正的文檔，是隱藏有害鏈接、代碼或其他惡意內容的靈活容器。攻擊者利用用戶對 PDF 附件的熟悉程度，采用社會工程學策略，增加了欺騙收件人的機會。此外，PDF 文件還能逃過電子郵件安全系統的眼睛，因為這些系統更注重在其他類型的文件中發現威脅。

Check Point近期分享了一些攻擊實例，其中 PDF 包含一個指向惡意網站或網絡釣魚頁面的鏈接。雖然這種技術的技術含量相對較低，但它的簡單性使自動系統更難發現。攻擊者的目的是讓受害者點擊鏈接，從而啟動攻擊鏈。

PDF 攻擊戰役剖析

Check Point Research觀察到的最常見的PDF攻擊技術之一是基于鏈接的攻擊活動。這些活動簡單而有效。它們通常包含一個指向釣魚網站或惡意文件下載的 PDF 鏈接。通常，鏈接會附帶一張圖片或一段文字，目的是引誘受害者點擊。這些圖片通常模仿亞馬遜、DocuSign 或 Acrobat Reader 等可信品牌，使文件乍看之下無害。

使這些攻擊難以被發現的原因是，攻擊者控制著鏈接、文本和圖片的所有方面，因此很容易改變其中的任何元素。盡管這些攻擊涉及人與人之間的交互 （受害者必須點擊鏈接），但這往往是攻擊者的優勢，因為沙箱和自動檢測系統很難完成需要人類決策的任務。

威脅行為者使用的規避技術

不法分子不斷調整自己的技術，以逃避安全系統的檢測。這些技術顯示了對不同檢測方法工作原理的深刻理解，它們往往是為繞過特定工具而量身定制的。

URL 規避技術

PDF 文件可能是惡意軟件的最明顯線索就是其中包含的鏈接。為了避免被檢測到，威脅者會使用一系列 URL 規避技術，例如

· 使用良性重定向服務：攻擊者通常使用眾所周知的重定向服務（如必應、LinkedIn 或 Google 的 AMP URL）來掩蓋惡意鏈接的真實目的地。這些服務通常被安全廠商列入白名單，從而使基于 URL 信譽的系統更難檢測到威脅。

· QR 碼：另一種技術是在 PDF 文件中嵌入 QR 碼，鼓勵受害者用手機掃描。這種方法完全繞過了傳統的 URL 掃描儀，為攻擊增加了額外的復雜性。

· 電話詐騙：在某些情況下，攻擊者依靠社會工程學促使受害者撥打電話號碼。這種方法完全不需要可疑的 URL，但需要大量的人際互動。因此，這類釣魚郵件往往是電話詐騙的初始步驟。

靜態分析規避

PDF 文件結構復雜，許多安全工具依靠靜態分析來檢測惡意活動。然而，這種方法并不總能有效對付基于 PDF 的復雜攻擊。攻擊者可以混淆文件內容，使安全工具難以對其進行分析。

例如，PDF 文件使用注釋來定義可點擊區域（如鏈接），但這些注釋的編碼方式可能讓靜態分析工具難以識別。攻擊者甚至可能利用 PDF 閱讀器在解釋這些注釋時的細微差別，導致自動系統錯過惡意意圖。

機器學習的漏洞

隨著安全系統越來越依賴機器學習（ML）來檢測威脅，攻擊者也在想方設法躲避這些模型。一種常見的技術是在圖像中嵌入文本，而不是使用標準文本格式，從而迫使安全系統依賴光學字符識別（OCR）來提取文本，使其更容易出錯和延遲。攻擊者甚至可能篡改圖像，使用低質量文件或以微妙的方式更改字符，以混淆 OCR 軟件。

除此之外，攻擊者還可能添加不可見或極小的文本來欺騙自然語言處理（NLP）模型，使安全系統更難理解文檔的真實意圖。

如何防范基于 PDF 的攻擊

Check Point Threat Emulation 和 Harmony Endpoint 針對各種攻擊策略、文件類型和操作系統提供強大的保護，可抵御上文詳述的各種威脅。

同時，企業應加強員工的安全意識，采取一些切實可行的措施來降低風險：

● 始終核實發件人

即使 PDF 看起來合法，也要仔細檢查發件人的電子郵件地址。網絡犯罪分子通常會偽造知名品牌或同事，騙取您對文件的信任。

● 謹慎使用附件

如果您沒有想到會收到 PDF 文件，尤其是提示您點擊鏈接、掃描二維碼或撥打電話的 PDF 文件，請將其視為可疑文件。如有疑問，請勿點擊鏈接或文件。

● 點擊前懸停

在點擊 PDF 中的任何鏈接之前，請將鼠標懸停在該鏈接上，以查看完整的 URL。對縮短鏈接或使用必應、LinkedIn 或 Google AMP 等重定向服務的鏈接要謹慎。

● 使用安全的 PDF 查看器

現代瀏覽器和 PDF 閱讀器通常具有內置安全功能。保持它們的最新版本，避免在未升級或過時的軟件中打開 PDF。

● 禁用 PDF 閱讀器中的 JavaScript

如果 PDF 閱讀器支持 JavaScript（很多都支持），除非絕對必要，否則請禁用它。這樣可以降低基于腳本的漏洞利用風險。

● 不斷更新系統和安全工具

確保定期更新操作系統、瀏覽器和殺毒軟件。補丁通常會修復惡意 PDF 中的漏洞。

● 相信自己的直覺

如果一個 PDF 文件看起來好得不像真的，有不尋常的格式和錯別字，或者要求提供證書，那么它很可能是一個陷阱。