文章总结： 该文档介绍了针对财富100强企业的新型Windows后门PDFSIDER。攻击者利用DLL侧加载技术滥用合法签名的PDF24软件，结合涉军诱饵文件进行鱼叉式钓鱼，以绕过AV/EDR检测。该恶意软件具备内存驻留、AES-256加密通信及反分析能力，旨在建立长期隐蔽的远程控制通道，属于典型的定向情报收集攻击手段。企业需警惕此类滥用合法签名和加载机制的攻击范式。 综合评分： 84 文章分类： 恶意软件,威胁情报,漏洞分析

伪造涉军秘密报告为诱饵：新型木马PDFSIDER定向攻击的情报战

原创

网空闲话 网空闲话

网空闲话plus

2026年1月20日 07:45 北京

网络安全公司Resecurity在1月18日发布的分析报告中介绍，在处置一起针对财富100强企业的入侵事件过程中，识别出一款此前未公开披露的Windows后门恶意软件PDFSIDER。该恶意软件通过鱼叉式钓鱼投递，滥用合法签名软件的DLL加载机制，在不触发明显安全告警的情况下完成执行，并能够绕过主流杀毒软件和端点检测与响应（AV/EDR）系统。分析显示，PDFSIDER以内存驻留、加密通信和反分析机制为核心特征，具备长期隐蔽访问与远程命令执行能力，其整体设计更接近定向渗透和情报收集工具，而非大规模传播型恶意软件。值得注意的是，在相关攻击活动中，攻击者还使用了伪装成涉军机构文件的诱饵材料，进一步凸显其面向特定目标群体的定向攻击属性。

根据Resecurity的描述，PDFSIDER被定位为一个用于长期访问的隐蔽后门，其行为特征“通常与APT攻击手段相关”。研究人员强调，该工具并非为一次性破坏或快速变现而设计，而是服务于持续控制、远程指令执行和隐蔽通信。

值得注意的是，Resecurity进一步指出，PDFSIDER虽然已被观察到用于麒麟（Qilin）勒索软件攻击，但同时也被多个勒索软件攻击者积极利用作为通用投放载荷。这意味着该后门在攻击生态中具有一定的“模块化”价值，但其设计初衷并不局限于勒索场景。

该恶意软件的植入过程大致如下图所示。

初始突破：社会工程、远程协助与鱼叉式钓鱼结合

在该起入侵尝试中，攻击者并未仅依赖恶意邮件，而是结合了多种社会工程手段。根据Resecurity披露，威胁行为者冒充技术支持人员，试图诱导目标员工使用微软的QuickAssist（快速助手）工具，从而获取远程访问权限。

与此同时，PDFSIDER的主要投递方式仍然是鱼叉式网络钓鱼邮件。邮件通常附带一个ZIP压缩包，压缩包内包含：

一个合法、经过数字签名的可执行文件

一个被恶意替换的DLL文件

这一组合为后续的DLL侧加载奠定了基础，也体现出攻击者在“可信外观”上的精心设计。

合法外壳：滥用PDF24 Creator可执行文件

ZIP压缩包中的合法程序为PDF24 Creator，该软件由Miron Geek Software GmbH提供，主要用于PDF文件的创建和转换。PDF24 Creator本身被广泛使用，其可执行文件具有真实且仍然有效的数字签名。

Resecurity明确指出，攻击者并未伪造签名或篡改EXE文件本体，而是利用PDF24软件在DLL加载机制上的可滥用行为，使其在运行时加载攻击者提供的恶意DLL。

研究人员强调，这类攻击方式正变得越来越常见，其背后原因之一是AI驱动的代码分析和漏洞挖掘技术，使攻击者更容易发现可被安全产品忽视的“灰色加载路径”。

执行核心：DLL侧加载绕过AV与EDR

PDFSIDER的执行完全依赖DLL Side-Loading（DLL侧加载）技术。攻击者将一个恶意版本的cryptbase.dll与合法的PDF24.exe放置在同一目录中。

当受害者运行EXE文件时，程序并不会调用系统目录中的合法cryptbase.dll，而是优先加载当前目录下的同名DLL，从而导致攻击者代码被执行。这一方式具有明显的防御规避优势：

父进程为合法、签名有效的软件

不涉及Exploit或异常API行为

可有效绕过多种AV/EDR的信任模型

Resecurity明确表示，绝大多数从PDFSIDER攻击活动中识别出的样本都能够绕过主流AV/EDR解决方案。这也是该工具被解读为“定向攻击手段”的重要原因之一。

内存驻留后门：隐蔽的远程Shell

一旦恶意DLL被加载，PDFSIDER即开始初始化其后门功能。其核心设计理念是以内存执行为主，最大限度减少磁盘痕迹。主要行为包括：

初始化Winsock网络通信

收集系统信息并生成唯一主机标识符

创建匿名管道

使用cmd.exe/C<命令>执行攻击者下发的指令

通过CREATE_NO_WINDOW标志隐藏命令执行过程

所有命令输出都会被捕获并回传给攻击者，受害者在本地主机上几乎无法察觉异常活动。

加密通信与DNS外泄：长期潜伏服务的C2设计

PDFSIDER在通信层面体现出高度规范化和成熟的实现方式。其DLL内部完整嵌入了Botan 3.0.0加密库，并使用：

AES-256-GCM

AEAD（关联数据认证加密）

GCM模式下的完整性校验

所有C2数据均在内存中完成加解密，确保通信内容不会写入磁盘。Resecurity指出，这种加密实现方式是定向攻击中远程Shell恶意软件的典型特征。

在基础设施层面，研究人员发现攻击者租用了VPS服务器，并通过DNS（端口53）将系统信息和命令结果泄露至C2服务器，从而进一步降低被检测的概率。

反分析机制：有意对抗沙箱与研究环境

PDFSIDER内置多项反分析措施，用于判断自身是否运行在虚拟化或分析环境中，包括：

使用GlobalMemoryStatusEx检查系统RAM

在低内存环境下提前终止执行

使用IsDebuggerPresent检测调试器

这些机制并不复杂，但在实战中足以绕过大量自动化沙箱系统，确保样本只在真实目标环境中完整运行。

涉军诱饵：凸显定向攻击

在PDFSIDER的一系列攻击活动中，Resecurity还观察到攻击者使用了高度定制化的诱饵文档。在最近一次事件中，攻击者使用了一份伪造文件，该文件被设计成仿佛由解放军高层某重要情报机构出具。（这个文件一度在暗网流传，明白人一眼就知道这是编造的Fake文件）

这一细节具有重要意义。它表明PDFSIDER并非随机传播的恶意软件，而是嵌入特定地缘政治或军事叙事背景中的定向攻击工具。涉军机构名义的滥用，本身即是为了提高诱饵在特定目标群体中的可信度和打开率。

攻击属性评估：定向渗透而非大规模传播

综合其投递方式、执行机制、加密通信、反分析设计以及诱饵策略，Resecurity明确将PDFSIDER解释为：

一种用于定向攻击的攻击手段，而非大规模恶意软件传播工具。

其目标显然是高价值组织与网络环境，强调低噪声、长期潜伏和稳定控制，而非快速扩散。

结语

PDFSIDER案例清晰表明，在当前安全环境下，攻击者正越来越多地选择滥用合法软件、合法签名和系统加载逻辑本身，而非依赖高风险漏洞利用。

DLL侧加载、内存型后门、强加密C2与高度定制化诱饵，正在共同构成一种低可见度、高成功率的攻击范式。PDFSIDER并非孤立个案，而是这一趋势的一个清晰缩影，对企业与机构的终端防御体系提出了更高要求。

参考资源

1、https://www.resecurity.com/es/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion

2、https://www.bleepingcomputer.com/news/security/new-pdfsider-windows-malware-deployed-on-fortune-100-firms-network/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《伪造涉军秘密报告为诱饵：新型木马PDFSIDER定向攻击的情报战》