是的 - PDF 可以包含惡意內容,而 PDF 已被用作現實世界攻擊中惡意軟體的傳遞機制。這並不意味著每個 PDF 都是危險的,或者您應該害怕打開收到的任何 PDF。但這確實意味著「這只是一個 PDF」。這不是降低警戒的理由。了解如何將 PDF 武器化可以幫助您就開啟哪些文件做出明智的決定。
PDF 如何攜帶惡意內容
PDF 格式支援多種功能,這些功能雖然在正確使用時是合法的,但在被惡意利用時會產生攻擊面:
- JavaScript:PDFs 可以包含開啟文件時執行的 JavaScript。合法用途包括表單驗證和互動式導航。惡意用途包括利用 PDF 閱讀器中的漏洞在主機系統上執行程式碼。
- 嵌入式檔案:PDF可以包含任何類型的嵌入式檔案 - 包含執行檔。提示您開啟或儲存嵌入附件的 PDF 可能會試圖讓您執行惡意軟體。
- 啟動動作:PDF 可以在開啟時觸發動作——開啟 URL、啟動應用程式或執行腳本。這些有時用於將受害者重新導向到網路釣魚頁面或啟動下載。
- 基於漏洞的攻擊:某些攻擊除了開啟檔案之外不需要任何使用者互動。他們利用特定版本的 PDF 閱讀器(尤其是舊版本的 Adobe Reader)中的漏洞,僅透過渲染文件來執行程式碼。
實務中的風險
您遇到的絕大多數 PDF 都是完全良性的。商業文件、發票、報告、表格、小冊子——這些都不包含惡意內容。威脅是特定的:以網路釣魚電子郵件中的附件或連結形式發送的 PDF,尤其是那些未經請求的電子郵件,似乎來自可靠的來源,或造成立即打開它們的緊迫性。
風險最高的情況是來自未知或可疑寄件者的意外電子郵件中的 PDF 附件 - 特別是當電子郵件要求您啟用功能、開啟嵌入文件或點擊連結以驗證某些內容時。這種模式是基於 PDF 的網路釣魚攻擊的標誌。
是什麼讓PDF打開起來更安全或更危險
打開更安全:
- 來自已知、預期來源的 PDF — 與您合作的供應商提供的發票、同事的報告、您要求的文檔
- PDF 在瀏覽器檢視器中打開,而不是在完整的桌面應用程式中開啟 - 瀏覽器 PDF 檢視器具有更受限制的執行環境
- PDFs,其中 JavaScript 在 PDF 閱讀器中被禁用 - Adobe Reader 在“首選項”>“中允許此操作” JavaScript
風險較高:
- 來自未知寄件者的意外 PDF,尤其是主題行緊急的
- PDF 提示您啟用內容、點擊啟動或下載嵌入文件
- 來自未經請求的電子郵件中的連結的 PDF,即使寄件者看起來很熟悉 — 寄件者地址可能被欺騙
實用保護
- 保持您的 PDF 閱讀器更新:大多數基於漏洞的 PDF 攻擊針對舊閱讀器版本中的已知漏洞。當前版本會在發現這些問題時進行修補。
- 在 Adobe Reader 中停用 JavaScript:編輯 >首選項> JavaScript >取消選取「啟用 Acrobat JavaScript」。這消除了一整類攻擊,而不影響大多數合法的 PDF 功能。
- 在瀏覽器中開啟可疑的 PDF:Chrome 和 Firefox 的內建 PDF 檢視器在沙盒環境中執行,該環境限制惡意內容的行為(即使惡意內容執行)。
- 開啟前掃描附件:大多數防毒軟體會自動掃描電子郵件附件。對於來源不明的文件,開啟前的手動掃描會增加一層驗證。
這對線上PDF工具意味著什麼
信譽良好的線上PDF 工具 服務(包括位於www.wukongpdf.com 的WukongPDF)在隔離環境中處理PDF 伺服器端。安全性問題則相反:上傳至此類服務的惡意 PDF 會為服務的基礎設施帶來風險,而不是為您帶來風險。為了您自身的安全,需要注意的是您收到並開啟的 PDF,而不是您上傳到可信任處理服務的 PDF。
平衡的觀點
PDF 可能包含惡意軟體。絕大多數人沒有。風險集中在特定場景中——意外附件、緊急請求、未知寄件者——只需稍加註意即可識別。讓您的閱讀器保持更新,在 Adobe Reader 中停用 JavaScript,對意外的 PDF 採取與應用於意外的可執行檔相同的懷疑態度,對於大多數用戶來說,實際風險很小。