相比于其他较为复杂的系统漏洞,难守易攻的Office漏洞以其构造简单、成本低廉等特点,成为APT组织的重要攻击手段。近日,360威胁情报中心发布《2017中国高级持续性威胁(APT)研究报告》(以下简称报告),结合2017年各大APT攻击事件指出,Office漏洞成为当前APT攻击焦点。
“无色无味”的隐形毒药——Office漏洞攻击
2017年是全球APT攻击空前活跃的一年,根据360威胁情报中心监测到的APT攻击结果显示,截至2017年12月底,360威胁情报中心共发现针对中国的境内外APT组织共38个,其中2017年处于高度活跃状态的有6个。《报告》指出,这些攻击至少影响了中国境内超过万台电脑,攻击范围遍布国内31个省级行政区。
图一:2017年国内高度活跃的6个APT攻击情况
《报告》监测研究结果表明,在这高度活跃状态的6个APT攻击中,海莲花、摩诃草等著名攻击事件均发现利用Office漏洞进行鱼叉邮件攻击的情况,Office漏洞已然成为APT组织的重要攻击手段。
对APT攻击中常见的Office漏洞利用情况,《报告》对此进行了分类总结,将其主要分为逻辑型漏洞、内存破坏型漏洞和其他特殊类型漏洞。由于Office的复杂性为黑客带来不少可利用的攻击面,Office漏洞结构稳定,容易触发,深受APT组织的喜爱。
以针对中国、巴基斯坦等亚洲地区进行网络间谍活动的摩诃草为例,该组织频繁使用针对微软Office系列的文档漏洞(CVE-2017-0199等),利用鱼叉邮件攻击窃取敏感信息。根据360威胁情报中心监控,发现摩诃草组织在2017年下半年跟进使用了CVE-2017-0261+CVE-2016-7255的组合,在11月至12月初发起了多次攻击。
同样在2017年,各家安全厂商还披露了多起APT28组织的活动,利用Office 0day漏洞、Flash Nday漏洞和DDE技术,向法国大选候选人马克龙、欧洲与美国政府机构及航空航天私营部门发动攻击,造成的危害十分严重。
APT军火走向民用!360安全卫士实时防护Office漏洞攻击
基于Office庞大的用户群体和看似无害的形象,加上Office漏洞成本较低、构造简单、触发稳定等特点,使得Office漏洞深受APT组织青睐,而人们对于Office漏洞的警惕性较差,因而一旦APT组织发动攻击,造成的后果和影响范围难以估计。
随着军火民用化的APT发展趋势,Offcie 0day漏洞不仅是APT的最爱,黑客还有可能利用这些已曝光的漏洞实现对普通网民的攻击,远程控制网民的电脑,让电脑成为“肉鸡”。
2017年11月,微软发布安全补丁,修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882),该漏洞对所有主流Office版本通杀,并已被不法黑客利用,只要用户打开恶意文档,电脑就会被黑客远程控制。
图二:360安全卫士拦截Office漏洞攻击
微软只针对Office2007 sp3、Office2010 sp2、Office2016及以上的版本提供补丁,部分老版本Office用户则无法修补漏洞,360安全卫士已率先实现对此漏洞的“无补丁防护”,在没有打补丁的情况下,也能确保老版本Office用户的系统安全。
就当前全球APT攻击整体态势而言,与各行各业息息相关的Office漏洞已经成为不可忽视的网络武器,且军火民用化特点日益显著,令普通网民难以察觉、杀伤力十分巨大。面对当前Office漏洞攻击形势,为避免成为黑客军火民用化扩散的牺牲品,普通网民除了提高自身警惕之外,还应及时更新系统,为电脑打补丁。
此外,安全专家建议各位用户可借助于360安全卫士等软件,及时检测系统更新,拦截有风险的程序。2017年,360多次率先捕获office 0day漏洞攻击,并协助微软修补漏洞,及时推出应对措施,让用户安心免疫Office漏洞攻击。