恶意Crystal PDF转换器在SLTT网络中被检测到
2025年10月下旬,互联网安全中心®的网络威胁情报团队观察到,与美国州、地方、部落和地区政府实体终端上一个名为“Crystal PDF”的恶意虚假PDF转换器相关的CIS托管检测与响应™警报有所增加。CIS CTI团队的分析确认,Crystal PDF是一个托管的.NET分阶段加载器,但第二阶段的有效载荷无法进行分析。
正如CyberProof所报告的那样,恶意的PDF转换器和编辑器在2025年变得更加普遍,而Crystal PDF的战术、技术和程序与早期观察到的示例(如OneStart PDF编辑器(2025年2月)和AppSuite PDF编辑器(2025年5月))有相似之处。2025年3月,联邦调查局丹佛外勤办公室报告了利用在线文档转换器工具感染受害者恶意软件从而导致进一步感染(如勒索软件)的骗局有所增加。这一趋势很可能源于威胁行为者意识到用户更愿意寻找免费的第三方工具而不是付费选项,以及用户对Microsoft Office相关PDF格式问题和创建错误的挫折感。
因此,CIS CTI团队以中等置信度评估,威胁行为者将继续在机会主义活动中使用虚假的PDF工具。本博客文章包含了为美国SLTT量身定制的危害指标和建议,以更好地防御恶意的PDF转换器。
Crystal PDF概述
Crystal PDF是一个用F#编写的托管.NET分阶段加载器。根据该可执行文件上传到VirusTotal的最早记录,它于2024年11月首次被观察到。在分析时,Crystal PDF使用了Long Sound LTD和VAST LAUST LTD的数字签名证书,这些证书现已被吊销。该恶意软件伪装成PDF转换器,但分析显示它不包含PDF处理库,很可能没有真正的PDF转换功能。
Crystal PDF具有多种功能,包括在内存中执行混淆的有效载荷、进程注入和生成、以及沙箱和虚拟机检测。它还可以下载额外的有效载荷。根据CIS CTI团队的分析以及对类似虚假PDF转换器的报告,Crystal PDF通过恶意广告传播,通常使用搜索引擎优化投毒来在搜索查询中推广恶意资源。
图1: Crystal PDF (沙箱分析)
一旦执行,有效载荷在内存中运行,并进行沙箱和虚拟机检查。如果不在沙箱或虚拟机中,Crystal PDF会尝试建立初始的出站网络通信(很可能通过HTTPS),连接到其命令与控制域以进行报到,然后等待进一步指令。为了规避防御,如果联系的C2域没有响应,有效载荷会停滞。
对于第二阶段,Crystal PDF很可能要么下载额外的有效载荷,要么包含一个必须解密并在内存中执行的嵌入式有效载荷。
图2: Crystal PDF (沙箱分析)
技术分析
2025年10月22日,CIS 7x24小时安全运营中心向CIS CTI团队发出警报,称与Crystal PDF相关的多个组织出现大量CIS MDR检测。检测发现,位于临时目录中的Crystal PDF正试图运行其“update”命令。(见图3。)
图3: CIS MDR在命令行中检测到Crystal PDF
CIS MDR阻止了此活动,这些警报促使CIS CTI进行进一步调查。团队分析了三个已签名可执行文件的内容和行为。这些证书现已被吊销,原因是签名机构检测到合法签名基础设施被滥用或入侵。所有三个样本的二进制文件在其PE文件头中都包含不同的未来公共对象文件格式时间戳(例如2085-09-21)、空的导入表以及多个PE头,这指向了混淆。混淆特别掩盖了Crystal PDF是用于下载额外有效载荷的第一阶段有效载荷,还是包含一个必须解密并在内存中执行才能运行的嵌入式有效载荷。
观察到的执行和进程行为
根据CIS CTI团队的分析,Crystal PDF通常从用户的临时目录或“下载”文件夹启动,并在执行时执行一系列环境和沙箱检查。如果主机环境未虚拟化,Crystal PDF会在内存中执行混淆的有效载荷,这证实该恶意软件主要以无文件方式操作。尽管CIS CTI能够分析初始有效载荷,但第二阶段有效载荷无法进行分析。
CIS CTI分析员观察到Crystal PDF生成了意外的子进程,包括WerFault.exe,该进程通常在执行后立即被触发。目前尚不清楚这是良性的崩溃事件还是用于代码注入的被劫持进程。此外,CIS CTI看到rundll32.exe启动时带有与SHCreateLocalServerRunDll相关联的类标识符。这与常见的COM对象滥用一致,并且不是rundll32.exe的预期行为,这表明恶意软件通过COM对象加载或执行代码以融入正常的系统进程,从而规避防御并建立持久性。最后,DLLHost.exe、OpenWith.exe和FlashPLA.exe都在Crystal PDF执行后不久生成,并在Explorer\SessionInfo和Internet Settings\Cache下出现注册表活动。此活动不是良性或合法进程启动的典型行为,这表明Crystal PDF很可能在进行此活动以进行准备或确保持久性机制有效。此外,还观察到Crystal PDF进行了读/写/执行内存分配以及CreateRemoteThreadEx调用,这表明该恶意软件使用了进程注入技术。
观察到的网络行为
CIS CTI分析员观察到Crystal PDF对可能用于C2的三个域进行DNS查询:negmari[.]com、ramiort[.]com和strongdwn[.]com。此外,基于对.NET有效载荷的分析,CIS CTI发现该恶意软件利用了标准的.NET网络功能,特别是AsyncDownloadFile、AsyncDownloadString、HTTPClient和WebClient。这些功能通常被合法的.NET应用程序用来发送HTTP请求和检索远程内容。
然而,根据MITRE ATT&CK和Justin Verhaeghe的描述,恶意软件经常利用这些功能来下载额外的有效载荷或从C2基础设施检索指令。由于上述C2域不活跃或被接管,CIS CTI无法确认Crystal PDF是下载第二阶段有效载荷还是包含一个必须解密并在内存中执行才能运行的嵌入式有效载荷。
观察到的防御规避技术
CIS CTI团队观察到Crystal PDF采用了多种防御规避技术:
- PE头中的COFF时间戳均为未来日期,这是恶意软件作者用于混淆的技术,目的是在调查过程中误导网络安全分析师。
- Crystal PDF的导入表实际上是空的,不包含传统的Windows API导入。相反,威胁依赖于动态API解析。这种技术常用于恶意软件开发中,通过仅在运行时动态加载所需的API来规避静态分析。
- 该威胁利用时间延迟和循环环境检查来检测虚拟化,并使用数字签名的二进制文件来规避基于签名的检测。
- 最后,CIS CTI的分析发现Crystal PDF使用了额外的混淆技术,包括加密和/或压缩来隐藏嵌入式有效载荷。由于只有部分公共语言运行时内存捕获,团队无法直接分析嵌入式有效载荷。
“生产力工具”木马
Crystal PDF是众多被宣传为PDF转换器或编辑器的恶意虚假生产力工具之一。其他虚假PDF应用程序包括AppSuite PDF编辑器、ConvertMate、ManualReaderPro和OneStart PDF编辑器。与Crystal PDF类似,这些恶意软件通常通过恶意广告和SEO投毒活动分发,并且经常利用有效(尽管后来被吊销)的数字签名来显得可信。
在各种活动中,许多这类虚假PDF工具都依赖于内存中执行,并作为分阶段加载器,最终传递第二阶段有效载荷,最常见的是信息窃取程序。例如,Acronis检测到一项名为TamperedChef的持续全球活动,其中威胁行为者传播看似合法的安装程序以传播信息窃取恶意软件。其他相似之处包括使用动态API解析、进程创建和注入,以及滥用标准.NET网络功能,同时通过HTTPS进行C2活动通信。
虚假PDF实用应用程序的浪潮反映了威胁格局的广泛转变。威胁行为者越来越多地将看似良性的生产力工具武器化,并使用恶意广告和SEO投毒,而不是纯粹依赖网络钓鱼或漏洞利用工具包。提供能够规避检测的虚假生产力工具,结合用户愿意寻找和安装免费第三方工具,使得威胁行为者更容易获得初始访问权限、执行和持久性。这种趋势利用了用户对广告中的生产力工具的信任,特别是第三方PDF转换器和编辑器,使得网络安全防御者和防病毒工具更难检测潜在的恶意活动并保护最终用户。
作为MS-ISAC成员防御Crystal PDF
美国SLTT可以通过加入多州信息共享和分析中心®来加强防御像Crystal PDF这样的虚假PDF工具。MS-ISAC会员资格为您的组织提供了一个强大的网络防御生态系统,以实现无法通过商业供应商或其他政府项目复制的保护。成为会员后,您将收到关于Crystal PDF等威胁的早期报告,这些报告包含在MS-ISAC的季度威胁报告中和月度会员电话会议上。您还将收到为美国SLTT网络防御操作员和决策者量身定制的更详细报告,包括具体的事件响应发现和IOC。这些信息旨在提供可直接支持主动防御和明智决策的可操作威胁情报。
准备好体验集体网络防御的差异了吗?成为MS-ISAC会员 自2025年6月23日起,MS-ISAC已引入基于费用的会员制。任何关于免费MS-ISAC服务的潜在提及均不再适用。成为MS-ISAC会员