Adobe Reader零日漏洞被恶意PDF利用预警

本文分享EXPMON系统对一种针对Adobe Reader用户的高度复杂、指纹识别式PDF漏洞利用的检测与分析过程，并披露相关技术细节。

一、摘要

EXPMON系统检测到一个针对Adobe Reader用户的高度复杂的PDF漏洞利用样本。

根据分析，该样本属于一个初始漏洞利用程序，具备收集和泄露各类信息的能力，可能后续会结合远程代码执行和沙箱逃逸攻击。它滥用了Adobe Reader中的一个零日/未修补漏洞，从而能够执行特权Acrobat API，并已确认可在Adobe Reader最新版本上正常工作。

具体来说，它调用了util.readFileIntoStream()API，允许其读取本地系统上（由沙箱化Reader进程可访问的）任意文件。通过这种方式，它可以收集本地系统的广泛信息并窃取本地文件数据。

调用RSS.addFeed()API主要用于两个目的：向远程服务器发送从本地系统收集的信息，并接收要执行的额外Ja vaScript代码。

这种机制使得威胁行为者能够收集用户信息、窃取本地数据、执行高级“指纹识别”并发动后续攻击。如果目标符合攻击者的条件，攻击者可能会投递额外的漏洞利用程序以实现远程代码执行或沙箱逃逸。

然而，在测试中，未能获取到所说的额外漏洞利用程序——服务器已连接，但未返回响应。这可能由于多种原因——例如，本地测试环境可能未满足攻击者的特定条件。

尽管如此，这种用于广泛信息收集的零日/未修补能力，以及后续可能的远程代码执行/沙箱逃逸潜力，已足以让安全社区保持高度警惕。这就是选择立即发布这些发现的原因，以便用户保持警惕。本文也将同步将此报告与Adobe安全团队分享。

二、检测过程

就在几周前的3月26日，有人通过EXPMON提交了一个PDF样本。虽然提交者将其命名为“yummy_adobe_exploit_uwu.pdf”，但它触发了EXPMON一项先进的"深度检测"功能。原始提交记录可在此链接查看：https://pub.expmon.com/analysis/328131/

此样本自3月23日起也在VirusTotal上检出，目前检出率较低，为5/64，可以在此链接找到。

注：EXPMON不收集任何有关提交者的信息，因此无法知晓是谁提交了该样本。

可以看到，该样本在“winx64(update20250816)_reader(2024.006.20320)[acrobatreader]”环境中被检测为以下状态：

信息类 - "此PDF可能产生可疑活动，请检查（此为实验性深度检测功能的结果，可能会存在误报，欢迎报告误报）"

对于那些不熟悉EXPMON对抗高级零日或未知漏洞利用策略的用户，这里更详细地解释一下。EXPMON通过三个流程识别“恶意样本”：

第一种是系统在界面或通过Web API立即报告威胁。在这个案例/样本中，系统成功标记该样本为可疑并要求进行人工分析。这是理想且最快的检测方法。第二种是管理员（对于EXPMON公共版而言是管理员）可以在控制器上检查检测日志，或者如果仅作为分析师，可以检查界面/Web API上显示的指标——即使高级别的检测结果仍标记为“未检测到”。这些日志和指标包含了更细粒度的信息，使分析师能够发现自动化系统可能未立即标记的复杂漏洞利用程序。虽然这种人工审查可能很快，但它确实需要专门的人力和深厚的领域知识。寻找真正高级零日或未知漏洞利用程序的最后一种方法是“大数据分析”流程。得益于EXPMON系统的架构，能够在数百万条日志中进行有意义的大数据分析。在这个过程中，可能会发现前两个流程遗漏的异常或威胁，并学习如何改进检测逻辑。这是一种强大的威胁狩猎方式；然而，它涉及大量的人工分析，通常需要很长时间。

此特定样本触发的"深度检测"功能是专门为Adobe Reader开发的非常先进的检测能力。它旨在应对Acrobat PDF Ja vaScript引擎的复杂性和灵活性。虽然目前还不愿完全披露该功能的工作原理（正如公开版本中编辑掉的指标名称所示）——原因显而易见——出于检测目的，这种性质的触发本身就值得进行人工分析。如果你是EXPMON用户并看到以这种方式检测到的样本，应该进行深入的手动分析并谨慎处理。

1. 样本的手动分析

最近，不经常查看EXPMON公共平台收集的日志或对其数据进行大数据分析——一直忙于另一个关于"大规模模糊测试Office"的项目。然而，本周，在计划进行一个拖延已久的大数据分析时，这个样本立刻引起了注意，因为它触发了Acrobat的"深度检测"功能！因此决定对这个样本进行一次手动分析，然后很快就遇到了一个"哇哦"的时刻——事实证明这个样本非常高级。

首先，它尝试在对象9内执行Ja vaScript；如下方图片所示，JS代码被严重混淆。

然后借助人工智能，快速将代码去混淆，得到类似下面的内容。

app.t = app["setTimeOut"](util["stringFromStream"](SOAP["streamDecode"](util["streamFromString"](getField("btn1")["value"]), ("base64"))

基本上，上面的代码所做的是对一个名为“btn1”的对象中的字符串进行base64解码，然后将其作为Ja vaScript运行。查看“btn1”的位置，发现它位于对象7中。

然后，用base64解码了这个长字符串，结果露出了大量Ja vaScript代码。

正如上图所示，base64解码后的Ja vaScript仍然严重混淆。借助人工智能进行JS代码去混淆工作（虽然体验有好有坏），最终设法大致理解了清理后的代码。

以下是基于混淆代码由AI生成的一些可读性强的、清理过的代码块。需要注意的是，根据经验，这种AI生成的代码仅能帮助快速理解恶意代码大致在做什么行为，它与实际可运行的、完全去混淆的Ja vaScript代码并不相同。请记住这一点。

开始部分，以特权方式调用RSS.addFeed()API。

调用RSS.addFeed()时的URL参数。

请注意，脚本收集来自本地系统的各种信息，包括语言设置、Adobe Reader版本号、确切的OS版本以及PDF文件的本地路径。然后，它将这些数据作为URL的一部分发送到远程服务器。服务器地址是“169.40.2.68:45191”。

通过调用特权API util.readFileIntoStream()，它甚至可以读取本地文件。下面的抽象代码读取ntdll.dll文件中的数据，并从中计算出准确的OS版本号。这对于未来的漏洞利用尤其有用。

如果它成功从远程、攻击者控制的服务器（通过RSS.addFeed()API）获得返回的Ja vaScript时，它甚至会使用密码学来解密payload，猜测这可能是为了规避基于网络的检测。

2. 测试样本

根据之前对抽象代码的理解，现在可以进行实际测试和分析。需要注意的是，之前的静态分析（借助人工智能）只生成了抽象代码——虽然这可能帮助理解大致行为，但实际上，需要在真实环境中进行一些动态测试来确认任何情况。

在Adobe Reader最新版本（26.00121367）上测试了该样本，它仍然有效。因此，检测到的能够收集本地信息并发送到远程服务器的初始漏洞利用程序，截至本文撰写时，仍然是一个零日/未修补漏洞。

在测试时，攻击者控制的服务器仍在线——如上图所示，它已连接。然而，它并未提供样本中显示的潜在远程代码执行/沙箱逃逸漏洞利用程序。这可能是由于多种因素：例如，攻击者的服务器可能“屏蔽”了测试IP地址，或者可能需要提供特定的本地信息才能满足服务器的条件。这非常类似于高级指纹识别攻击。

无论如何，如果有其他人设法弄清楚远程代码执行/沙箱逃逸或额外漏洞利用程序的具体内容，欢迎进一步探讨。

甚至更进一步：

(1) 修改了漏洞利用代码，使其连接到自己的服务器。当服务器返回一行简单的Ja vaScript代码——app.alert("inside the JS returned from the server!")——它被Adobe Reader客户端成功执行。这证实了远程服务器确实具备交付并启动后续远程代码执行或沙箱逃逸漏洞利用程序的能力。

(2) 修改了代码，让它从system32目录读取一个本地.png文件并发送到控制的服务器。它成功地执行了此任务。这证明，即使没有后续的远程代码执行/沙箱逃逸漏洞利用程序，此初始漏洞利用程序也完全能够从本地系统窃取广泛的敏感数据。

三、结论

在此，我们分享了EXPMON对一种针对Adobe Reader用户的高度复杂、指纹识别式PDF漏洞利用的检测和分析。此"指纹识别"漏洞利用程序已被证实利用了零日/未修补漏洞，该漏洞可在Adobe Reader最新版本上工作，除了打开PDF文件外不需要任何用户交互。更令人担忧的是，此漏洞利用程序允许威胁行为者不仅收集/窃取本地信息，还可能发起后续的远程代码执行/沙箱逃逸攻击，从而可能导致完全控制受害者的系统。

在防御方面，将立即将发现通知Adobe安全团队。希望他们能尽快修补此次初始攻击中利用的零日漏洞。建议Adobe Reader用户在最新补丁可用前，对不受信任方发送的PDF文件保持警惕。在检测方面，如果已经部署了安全产品，也可以在此样本中包含的攻击者控制IP地址——169.40.2.68:45191——上进行阻断和监控，但请记住，这不会阻止使用不同基础设施的其他变种。更好的方法是查看所有在User Agent字段中带有"Adobe Synchronizer"字符串的http/https流量。

如果遇到可疑的PDF样本，可以考虑将其提交到EXPMON公共平台。正如所讨论的，EXPMON系统采用了高度先进的"深度检测"功能来对抗像这样的复杂PDF零日漏洞利用程序。如果看到类似此类的检测，必须格外小心，因为它可能是一个新的变种。EXPMON系统旨在无需任何签名更新即可检测此类变种。

【[4月8日]更新】@greglesnewich 今天发现了一个新的变种。已确认此发现，它连接到IP地址188.214.34.20:34123。此样本于2025年11月28日出现在VT上，表明这次0day/APT攻击活动至少已持续了4个月之久。