win10打开软件无响应 2017年恶意Office文档攻击研究报告(2)

2.1 恶意文档数量占比分析

下图展示的是2017年常见攻击方式的恶意文档数量占比情况。由图中可以看到，利用CVE-2017-11882漏洞进行攻击的事件占比较大。这与CVE-2017-11882漏洞的特点是有关的，该漏洞原理简单，利用稳定，并且可以做到无交互，无感知，所以被大量利用。占比第二多的是CVE-2017-0199，该漏洞利用了一个逻辑漏洞，就导致利用该漏洞时不需要绕过微软采用的一系列诸如ASLR、DEP之类的漏洞缓解措施，因此成功率非常高。另外几种方式利用率相对较低。win10打开软件无响应

2.2 恶意文档数量按月分布分析

根据腾讯反病毒实验室的数据分析，4月-7月，这几类Office利用样本数量整体较少，而且该时段的样本都是CVE-2017-0199漏洞。在8月份，CVE-2017-8759的漏洞利用样本开始出现。基于DDE的利用样本在9月份开始出现，并在10月份占据了绝大数的份额，超越了CVE-2017-0199。而CVE-2017-11882在11月份出现后，利用此漏洞的恶意文档数量在12月份达到顶峰，超越了CVE-2017-0199所占数量。

从每个月来看，各类文档所占比例如下：

2.3 恶意文档类型分析

腾讯反病毒实验室将恶意文档分类成rtf类、word类(包括doc、docx等)、ppt类(包括ppt、pptx等)、xls类(包括xls、xlsx等)，并将各文件类型所占比例图展示如下。其中RTF文件占比是最大的，RTF文件本身结构简单，默认情况下是被word来调用解析的，通过嵌入恶意的OLE对象就可出发相关漏洞，所以借助rtf利用漏洞更加方便，快捷。

2.4 恶意文档语言分布分析

文档的默认语言与制作者、被攻击者、默认设置都有着强相关性，腾讯反病毒实验室根据所捕获的Office相关样本的语言信息进行统计，得出最常出现的默认语言Top 5，如下所示。

三 攻击原理及典型样本分析

在上一章中，从宏观层面上分析了基于Office的利用的整体情况，在本章节，将从每种Office利用中抽取最具代表性的样本进行详细分析。

3.1 CVE-2017-0199

利用趋势

该漏洞自2017年4月份公布至2017年12月期间，腾讯哈勃分析系统捕获的漏洞利用样本数量变化趋势如下：

从趋势图中看到，漏洞公布后，漏洞利用样本一直平稳波动，但从10月份以来，利用该漏洞的样本数量呈现大幅增长趋势。

漏洞原理

CVE-2017-0199是Microsoft Office在OLE处理机制实现上存在的一个逻辑漏洞，此漏洞的成因主要是word在处理内嵌OLE2LIN对象时，通过网络更新对象时没有正确处理Content-Type所导致的一个逻辑漏洞。由于逻辑漏洞的成因，就导致利用该漏洞时不需要绕过微软采用的一系列诸如ASLR、DEP之类的漏洞缓解措施，因此成功率非常高。

该漏洞主要有两种利用方式：

1. 针对URL Moniker的利用方式。利用过程为：将包裹的恶意链接对象嵌在文档中，OFFICE调用URL Moniker（COM对象）将恶意链接指向的HTA文件下载到本地，URL Moniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行。

2. 针对 Moniker的利用方式。利用过程为：攻击者使用PowerPoint播放期间会激活该对象，从而执行sct脚本（Windows Component）文件。

微软在修复CVE-2017-0199漏洞利用时，禁用了htafile对象和对象：

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-88458-2.html