win10打开软件无响应 2017年恶意Office文档攻击研究报告

原标题：2017年恶意Office文档攻击研究报告

一 总述

近年来，Office文档攻击成为了利用最为频繁的攻击方式之一。典型的攻击方式为：攻击者借助欺骗性文字的邮件主题或正文，向受害者发送带有恶意Office附件的邮件，诱导其点击打开附件，在无需交互、用户无感知的情况下，执行Office文档中内嵌的一段恶意代码，从远控地址中下载并运行恶意可执行程序，例如远控木马或者勒索病毒等。

由于Office是人们电脑上最常用的办公软件，这种攻击手法不仅给个人用户带来巨大的风险，同时也严重威胁着政府和企业的安全，危害巨大。攻击者一旦得手，则可能获取电脑的完全控制权限，不仅可以窃取电脑中存放的高度机密数据，还可以以该电脑作为跳板，进一步对同一网络中其它电脑进行攻击，甚至导致整个内网完全沦陷；同时也增加了勒索病毒攻击的风险，如果政府和企业的关键文档、数据、图片等被使用高强度算法加密，则受害者要么放弃这些数据，要么给攻击者支付价值不菲的赎金，造成的损失无法估量。

针对2017年Office攻击中最常用到的几个手法，腾讯反病毒实验室进行了深入的分析和整理，并提供一些防范攻击的安全建议，希望能够有效地保护个人以及企业、政府用户的安全。本文研究的恶意文档是指以Office为载体的恶意文档，既包括基于CVE-2017-0199、CVE-2017-8570、CVE-2017-8759、CVE-2017-11882的漏洞利用样本，也包括基于DDE的恶意文档样本。

下文中，我们首先会介绍Office攻击整体的数据情况，包括攻击中恶意方式的利用比例，攻击文档的语言分布，以及恶意服务器的地理位置信息等数据。随后会对常用的攻击手段展开详细的介绍，并借助攻击者使用的真实样本展开具体的分析。最后会提供几种防范Office恶意文档攻击的安全建议。

二 Office攻击方式数据统计及分析 攻击方式发现时间利用样本捕获时间简介CVE-2017-0199 2017年04月 2017年04月 Office OLE对象链接技术，将伪装的恶意链接对象嵌在文档中，由Office调用URL Moniker（COM对象）或者 Monike，执行hta或者sct文件 CVE-2017-8570 2017年07月 2017年08月 利用复合Moniker绕过了CVE-2017-0199的补丁针对URL Moniker和 Moniker相关classid的拦截 CVE-2017-8759 2017年09月 2017年09月 SOAP WSDL分析器代码注入漏洞，在解析SOAP WSDL定义的内容中它允许攻击者注入任意代码 CVE-2017-11882 2017年11月 2017年11月 EQNEDT32.EXE在拷贝公式字体名称时没有对名称长度进行校验，从而造成栈溢出 DDE 无 2017年09月10日公布 DDE使用共享内存来实现进程之间的数据交换，使用DDE通讯需要两个Windows应用程序，一个作为服务器处理信息，另外一个作为客户机从服务器获得信息。客户机应用程序向当前所激活的服务器应用程序发送一条消息请求信息，服务器应用程序根据该信息作出应答，从而实现两个程序之间的数据交换。

除上表中列出的攻击方式之外，腾讯反病毒实验室捕获的Office恶意文档还包含了下面三类：基于CVE-2012-0158、CVE-2010-3333、CVE-2015-1641等往年漏洞的利用样本；基于宏的利用样本；诱导用户直接释放恶意文件。这三类样本利用技术已经存在多年，相关分析和防御手段也已数见不鲜，为了能体现样本的最新趋势，故这三类样本并不包含在本文所研究的文档样本集中。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-88458-1.html