警惕！Word、PDF可能泄密

涼山新青年

有態度 有溫度 有你有我

日常生活中，經常用到各種Word、PDF文件。但你是否想過，一份看似平常的DOC或PDF文檔，可能正攜帶著竊取機密的惡意代碼？

今天，帶你了解有關案例及相關防范措施。

典型案例

Word、PDF是怎樣成為“竊密工具”的？

攻擊者精心構造了兩種誘餌文件。

套路1：嵌入惡意宏的Word文檔，“啟用內容”就是“開門揖盜”

攻擊者將惡意宏代碼嵌入Word文檔，偽裝成會議通知、合同、補丁說明等常用文件，郵件標題仿官方口吻，極具迷惑性。用戶打開文檔后，會彈出“啟用宏才能正常顯示”的提示，一旦點擊“啟用內容”，宏代碼將自動執行：解密釋放惡意載荷，生成偽裝成合法程序的可執行文件，植入后門，實現開機自啟、遠程控機，全程靜默無提示。

套路2：偽裝成PDF的可執行文件，“雙擊打開”就會“引狼入室”

這種手法更具欺騙性，主要有兩種形式：一是“雙后綴偽裝”，文件名看似“xxx.pdf”，實際是“xxx.pdf.exe”，圖標顯示為PDF，用戶雙擊后，看似打開PDF，實則運行可執行程序，釋放后門；二是“惡意文件偽裝”，將惡意.desktop文件偽裝成PDF，用戶誤點后，觸發隱藏命令，下載竊密程序。

提醒

一、提高風險意識，防范陌生郵件。立即禁用Office軟件默認宏執行功能，僅允許受信任、已簽名的宏運行；嚴禁打開陌生郵件附件中的Word文檔，若確需打開，先核實發件人身份，確認無風險后，關閉宏功能再瀏覽，堅決不點擊“啟用內容”。

二、警惕PDF陷阱，規范打開流程。接收PDF文件時，先查看文件名后綴，警惕“pdf.exe”雙后綴文件，避免雙擊直接打開；通過正規PDF閱讀器打開文件，開啟安全模式，禁止PDF自動運行嵌入式程序；不接收陌生來源、無明確用途的PDF文件，尤其是壓縮包中的PDF附件。

三、強化終端防護，全面排查隱患。組織終端安全排查，刪除SystemProc.exe等惡意程序；實時監控注冊表啟動項異常寫入，清除后門自啟配置；部署動態沙箱等安全防護工具，深度查殺偽裝文檔。

來源 | 四川日報

本期編輯 | 番茄

一審一校 | 賴小小

二審二校 | 沈莉

三審三校 | 馬吉石子

微博 | @涼山共青團