文章总结： PDFSIDER是一种新型后门，利用合法签名的PDF24Creator进行DLL侧载攻击，以此绕过Windows系统的防病毒与EDR防护。该恶意软件通过鱼叉式钓鱼传播，采用内存驻留技术及加密DNS通道进行隐蔽控制与命令执行。建议防御者重点监控合法进程的异常DLL加载行为及基于端口的异常加密流量。 综合评分： 86 文章分类： 恶意软件,威胁情报,漏洞分析,终端安全

PDFSIDER恶意软件被威胁行为者积极用于绕过防病毒和EDR系统

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月20日 09:03 北京

PDFSIDER 是一个新近曝光的后门程序，它能让攻击者长期控制 Windows 系统，同时绕过许多防病毒软件和终端检测与响应工具。

它使用可信软件和强大的加密技术来隐藏自身存在，使入侵者能够运行命令、研究网络并深入目标环境。

PDFSIDER攻击活动主要依靠定向鱼叉式网络钓鱼。受害者会收到包含合法 PDF24 Creator 可执行文件（已使用有效证书签名）以及其他配套文件的电子邮件，该文件是一个 ZIP 压缩包。

当用户启动受信任的应用程序时，触发的不是任何明显的文档查看器，而是隐藏的有效载荷，从而在几乎没有任何明显迹象的情况下开始入侵。

安全分析师在一次针对财富 100 强企业的入侵尝试中发现了PDFSIDER，该入侵在数据丢失发生之前被阻止。

他们的调查显示，该恶意软件已被多个勒索软件组织和高级攻击者用作可靠的有效载荷加载器，可以绕过标准安全控制。

该工具的设计更接近间谍活动而非抢劫犯罪。

对防守者的影响

由于 PDFSIDER 将合法的应用程序、伪造的 Windows cryptbase.dll 以及通过DNS端口 53进行的加密命令和控制流量混合在一起，因此对防御者的影响是严重的。

它主要在内存中运行，检查虚拟机和调试器，并避免嘈杂的漏洞利用链，这使得传统的基于特征的检测和沙箱测试的效果大大降低。

当受害者运行压缩包中被植入木马的 PDF24 可执行文件时，感染流程便开始了。攻击者在同一文件夹中放置了一个恶意 cryptbase.dll 文件，该文件利用DLL 侧加载规则，使程序加载的是攻击者的库文件，而不是真正的系统文件。

PDFSIDER 加载完成后，会初始化 Winsock，收集系统详细信息，构建唯一的主机标识符，并设置内存中的后门循环。

接下来，该恶意软件创建匿名管道，并使用 CREATE_NO_WINDOW 标志启动隐藏的 cmd.exe 进程。

操作员发送的任何命令都会在没有控制台窗口的情况下执行，输出会被捕获并通过由 Botan 库支持的 AES 256 GCM 加密通道发送回去。

由于所有流量都受到严密保护，并且永远不会写入磁盘，因此安全工具只能看到看似正常的 DNS 请求，而攻击者却可以完全远程 shell 控制。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《PDFSIDER恶意软件被威胁行为者积极用于绕过防病毒和EDR系统》