WPS最新0day漏洞？电脑被控仅仅是一个PDF（含视频）

原创 余老师 白帽子安全笔记 2024-11-29 05:18

继上篇文章，我们发现使用Adobe
打开PDF
可导致电脑被远程控制《无法被拦截的PDF钓鱼》

，而现在使用WPS
的用户也面临同样的问题，赶紧一起来看下。

WPS-PDF注入

此方式由于无需利用漏洞，无需伪装，正常PDF 弹出一个对话框要求重定向到外部网站，引导用户下载所谓的插件，普通用户稍不留心就可能去下载并安装，导致电脑被远程操控，由于是日常工作的PDF文件，通常得以绕过各种安全防护，再加上木马的免杀，容易攻击成功。

技术采用

编号	技术	详细
1	PDF注入	暂不公开
2	加载器	《间接系统调用APC注入EDR绕过免杀加载器》
3	C2	《完全无法检测的CobaltStrike》

视频区域

注意事项

由此可见，WPS在PDF打开时，默认是允许
, 且域名缩略显示
，易被伪造
。稍不注意就点击允许导致木马下载至本地，风险较大。

最后，还需提高信息安全意识，对来历不明的文件尽量不要去打开，即便是PDF。

推荐阅读

• • 无法被拦截的PDF钓鱼

• • 高级lnk快捷方式，常规杀毒软件无法拦截

• • [bug修复]完全无法检测的CobaltStrike

• • 完全无法检测的CobaltStrike

• • 堆栈欺骗和内存扫描绕过

• • 地狱之门进程注入官方免杀插件

• • Beacon 命令和 OPSEC 操作绕过查杀

• • 我有关于免杀的2个概念和3个误区要讲

• • 间接系统调用APC注入EDR绕过免杀加载器

• • 三步免杀卡巴斯基，免杀数字时长达一周以上

• • 免杀HelloWorld，0/71通过所有杀软

欢迎点赞分享并留言，同时欢迎关注视频号。