Таргетированные атаки типа APT зачастую начинаются с рассылки вредоносных файлов по электронной почте, чтобы «подцепить» жертву, а уже затем с её компьютера продолжить вредоносную активность в локальной сети.
Участники хакерских курсов Rapid Reverse Engineering провели исследование, в каких программах создаются эти PDF-файлы. Студенты разработали скрипт Python для автоматического извлечения метаданных из файлов, хранящихся в базе образцов. Всего в базе было более 300 образцов APT-атак.
Анализ файлов дал следующие результаты, вот десятка самых популярных программ.
Acrobat Web Capture 8.0 (15%)
Adobe LiveCycle Designer ES 8.2 (15%)
Acrobat Web Capture 9.0 (8%)
Python PDF Library - http://pybrary.net/pyPdf/ (7%)
Acrobat Distiller 9.0.0 (Windows) (7%)
Acrobat Distiller 6.0.1 (Windows) (7%)
pdfeTeX-1.21a (7%)
Adobe Acrobat 9.2.0 (4%)
Adobe PDF Library 9.0 (4%)
Кроме них, встречаются и такие артефакты (они не вошли в топ-10).
Advanced PDF Repair (http://www.pdf-repair.com)
Acrobat Web Capture 6.0
doPDF Ver 6.2 Build 288 (Windows XP x32)
alientools PDF Generator 1.52
PDFlib 7.0.3 (C++/Win32)
Всё это очень странно. Похоже, злоумышленники используют совершенно разный софт, в том числе устаревшие версии программ, и даже не пытаются стереть метаданные.
Теоретически, можно даже сделать систему раннего обнаружения атак APT по метаданным во входящих PDF-файлах.