win10打开软件无响应 2017年恶意Office文档攻击研究报告(6)

由于微软并认为这是安全问题，因此没有发布解决方案，只是说未来会更新运行DDE功能时的安全提醒内容，这导致该利用方式在一定时间内流行起来，如著名的黑客组织APT28在2017年11月份就曾利用DDE的方式结合纽约袭击事件发起过渗透攻击。

典型样本分析

对于一个使用DDE的典型样本分析，使用工具可以看到DDEAUTO关键字及其对应的命令参数，如下图

当此文档被WORD打开后，WORD会调用powershell下载[xxx]/great.exe并执行。

下载后great.exe为UPX加壳，使用upx –d 直接脱壳后，放到IDA中分析，停到入口处

典型的DELPHI的入口。再往后分析，可以看到

这是典型的DELPHI混淆器，利用这种混淆器躲避杀毒软件的检测。将混淆器中真正的可执行文件还原出来，再次加载并停在入口处。

经过分析，这又是一个封装器，将恶意代码动态加载到内存中执行，再次将恶意代码从内存中还原出来后，发现这是一个.NET的程序

根据Dnspy列出的类名和函数名可以看出该样本为njRAT的远控木马，该木马已经被很多安全厂商分析过，这里就不再赘述，该远控木马的上线地址为：1[xx.xxx.xxx.xx]3:9902。如下图所示

四 安全建议

2. 对于企业用户，针对上文中提到的文档攻击事件，可以使用御界防APT邮件网关（）和御界高级威胁检测系统（）两个安全产品进行有效的检测与防护。

御界防APT邮件网关是专门为邮箱打造的安全产品。依托哈勃分析系统的核心技术，结合大数据与深度学习，御界防APT邮件网关通过对邮件多维度信息的综合分析，可迅速识别APT攻击邮件、钓鱼邮件、病毒木马附件、漏洞利用附件等威胁，有效防范邮件安全风险，保护企业免受数据和财产损失。上文中提到的Office攻击事件，其攻击载体基本上都为邮件。所以对于企业来说，部署御界防APT邮件网关可以及时发现钓鱼邮件威胁，防范恶意邮件入侵途径，保护企业邮箱安全。

五 参考资料

[1] 2017年Office漏洞及漏洞攻击研究报告

https://guanjia.qq.com/news/n5/2195.html

[2] 对使用CVE 2017-8759漏洞传播njRat远控木马的分析与检测

[3]白象APT组织已将CVE 2017-11882纳入攻击武器库

[4] 危机四伏的Office高危漏洞CVE-2017-11882

[5] Office DDEAUTO技术分析报告

[6] 利用DDE钓鱼文档传播勒索病毒事件分析

[7] 无需开启宏即可渗透：在Office文档中利用DDE执行命令

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-88458-6.html