摘 要

　　本文研究的漏洞文檔是指利用漏洞進行網絡攻擊的惡意文檔，且此報告中統計的數據是2017年一月到六月的漏洞文檔。

　　通過對360互聯網安全中心截獲的漏洞文檔抽樣分析統計顯示，攻擊者最喜歡利用的載體為Office文檔，占比高達52.3%，其次為 RTF（Rich Text Format）文檔占比達到了31.5%。

　　漏洞文檔直接下載惡意程序是攻擊者使用的主要方式，占據68.5%，直接釋放惡意程序比例達到了24.1%。

　　在含有偽裝內容的文檔中，跟經濟相關的文檔占據比例最大，達到了15.7%，其次為教育科研機構，占比達到9.6%。

　　抽樣統計顯示，2017上半年中CVE-2017-0199漏洞被利用的次數最多，相關的漏洞文檔占比高達35.5%，其次是CVE-2012-0158占據17.5%。

　　在2017上半年被利用的主要漏洞中，變化最為明顯的是CVE-2017-0199，該漏洞在2017年前三個月未被公開，其占比為0，但是被公開后其占比一路走高，在四月份集中爆發，占比超過了所統計漏洞文檔的60%。

　　通過統計漏洞文檔載荷下載或釋放的惡意程序功能，發現遠控木馬和信息盜取木馬依然是主流，分別達到了36.6%和29.3%。

　　統計的惡意程序中，EXE和DLL文件依然占據主導地位，分別占70%和16%。

　　惡意程序開發語言中C/C++占比最高，達47.8%，其次為C#語言，占31.1%。

　　漏洞文檔載荷下載或釋放的惡意程序中，攻擊者最喜歡使用的程序名為svchost.exe，占比高達48.3%，其次為winlogin.exe占13.7%。

　　通過統計漏洞文檔載荷直接訪問或通過域名解析訪問的兩類C&C服務器，發現惡意程序作者所使用的C&C服務器地理位置主要集中在美國、俄羅斯以及德國，占比分別為43.9%、15.2%和7.0%。

　　通過統計載荷直接使用域名訪問C&C服務器的漏洞文檔，發現攻擊者更喜歡.com的頂級域名作為C&C服務器，其占比高達61.1%，尼日利亞國家的頂級域名.ng，占比為10.4%。

　　通過統計載荷直接使用IP地址訪問C&C服務器的漏洞文檔，發現攻擊者偏向于使用443、80與8080端口，占比分別為32.8%、25.4%和18.3%。

　　關鍵詞： 漏洞文檔、載荷、惡意程序、變化趨勢、C&C服務器、頂級域名、端口

　　研究背景

　　由于反病毒技術快速發展及免費安全軟件在全球的高度普及，惡意程序的傳播變得越來越困難。自2013年以來，中國一直是全球個人電腦惡意程序感染率最低的國家。

　　但是隨著漏洞挖掘及利用技術越來越公開化，導致越來越多的黑客更加傾向于利用常見辦公軟件的文檔漏洞進行惡意攻擊，特別是在一些APT（Advanced Persistent Threat）攻擊中，更是體現得淋漓盡致。針對特定目標投遞含有惡意代碼的文檔，安全意識薄弱的用戶只要打開文檔就會中招。

　　對于漏洞文檔（本文所說的漏洞文檔是指利用漏洞進行網絡攻擊的惡意文檔），為何用戶容易中招呢？2017年6月，360互聯網安全中心的安全專家們對這一問題展開了深入的研究?？偨Y了兩部分原因，一、漏洞文檔普遍采用了社會工程學的偽裝方法，攻擊者會進行精心構造文檔名，結合魚叉或水坑等攻擊方式進行傳播，并配有誘餌內容，極具欺騙性，導致很多用戶中招；二、部分用戶安全意識只停留在可執行的惡意程序上，對漏洞文檔危害的防范意識較弱。

　　鑒于此種情況，360安全專家對2017上半年PC平臺上漏洞文檔進行深入的抽樣分析研究，形成此報告，希望能夠借此幫助更多的用戶提高安全意識，對漏洞文檔有個直觀感受，有效防范此類惡意攻擊。

　　第一章 漏洞文檔綜述

　　一、 漏洞文檔類型分析

　　通過對360互聯網安全中心截獲的漏洞文檔抽樣分析統計顯示，攻擊者最喜歡利用的載體為Office文檔，占比高達52.3%。由于Office文檔類型眾多，包括doc、docx、xls、xlsx、ppt、pptx等類型，攻擊者選擇的載體類型較多，并且Office用戶群體龐大，因此此類漏洞文檔占比最高。其中在Office系列中Word文檔類型尤為突出，占據了Office文檔的81.6%，其次是PowerPoint文檔，占據了近10%。

　　除了Office文檔之外，攻擊者也喜歡利用RTF（Rich Text Format）文檔作為載體進行攻擊，其占比也達到了31.5%。很多Office漏洞需要成功運行惡意程序，會嵌入一些OLE對象進行堆噴射或用于繞過ASLR（Address Space Layout Randomization）安全機制，而Rich Text Format文檔很容易嵌入OLE對象，并且默認情況下RTF類型的文件系統會調用Word程序來解析，因此很多攻擊者會使用RTF文檔來制作漏洞利用樣本，以便更好的觸發漏洞運行惡意代碼。

　　此外，PDF文檔也在文檔漏洞類型中占據16.2%，該類文檔中通常包含一些惡意的JavaScript腳本，這些腳本會連接云端下載惡意程序。

　　另外，研究過程中，我們觀察到大量包含了漏洞文檔的電子郵件，這是由于攻擊者經常會通過電子郵件來進行傳播，并且會精心構造郵件內容，以便誘導用戶點擊，提高中招比例。在此提醒用戶，請不要輕易打開陌生人發來的文檔，該文檔很可能攜帶惡意載荷，導致自己蒙受損失。

　　二、 漏洞文檔載荷類型分析

　　這些經過攻擊者精心偽裝的漏洞文檔一旦運行后，是怎么樣運行惡意程序或代碼呢？

　　抽樣統計顯示，漏洞文檔直接下載惡意程序是攻擊者使用的主要方式，占據68.5%，該方式是指攻擊者在精心構造的樣本中嵌入惡意鏈接，用戶打開文檔中招后就會連接遠端下載惡意程序，從而導致用戶計算機中毒。攻擊者使用這種載荷的好處是可以隨時在云端替換下載文件，以達到自己想要的目的。

　　此外，漏洞文檔直接釋放惡意程序比例也較大，達到了24.1%，該類方式主要是指攻擊者直接將惡意程序捆綁在漏洞文檔中，用戶打開文檔觸發漏洞的同時，載荷會將捆綁的惡意程序運行起來，導致用戶中招。這兩類方式是現今漏洞文檔中出現的主流方式。

　　另外，下圖中所列出的其他類型的載荷主要包括兩部分，一、漏洞文檔中的載荷主動連接遠端特定IP和端口等待命令，以便進行不同操作；二、漏洞文檔中的載荷選擇在本地開放特定端口，等待攻擊者主動連接，這種方式可能會因為防火墻不允許外邊的計算機主動連接該計算機而失效。因此在實際的漏洞文檔中，載荷一般是主動連接遠端地址，而不是等待遠端來連接。這兩類載荷跟上面所說的漏洞文檔下載惡意程序載荷和漏洞文檔釋放惡意程序載荷有著較大區別，它是一段shellcode，直接與遠端服務器交互，不存在特定的惡意程序，此兩種載荷經常出現在PDF漏洞文檔中。

　　三、 漏洞文檔涉及領域分析

　　抽樣分析統計顯示，37.5%樣本為空白內容，沒有進行偽裝，其中主要原因有兩點：1、為了節約攻擊成本及縮短漏洞文檔制作時間，比如攻擊者通過郵件傳播，他們只需要在郵件內容中誘導用戶打開文檔附件就能達到攻擊效果，不需要添加文檔偽裝內容；2、很多真實的漏洞利用樣本是基于已有版本改進的，如原模版沒有內容，那么部分攻擊者不會再主動添加文檔偽裝內容，因為貿然添加了偽裝內容，容易破壞漏洞文檔的結構，導致漏洞利用失敗。

　　在含有偽裝內容的樣本中，跟經濟相關的文檔占據比例最大，達到了29.3%，這類漏洞文檔通常是用于攻擊企業、公司，內容一般是涉及訂單信息、材料價格等。其次是教育科研機構，占比達到8.4%，這些文檔內容通常涉及到高等學府的研究成果、高考成績等。需要特別注意的是與政治相關的文檔也占據了5.3%，這部分文檔內容涉及一些會議概要以及向政府部門提出的建議等，該類文檔通常出現在APT攻擊中。上面提到的這些漏洞文檔通常會使用郵件傳播，并且郵件內容與文檔名相符合，很多安全意識薄弱的用戶很容易中招。

　　另外需要說明的是，“其他”類別占據了7.1%，這部分內容涉及到成人、誘導執行、農業等方面。其中誘導執行相關的文檔通常涉及到朋友之間聚會照片、個人信息等，此類對于敏感性不強或好奇心比較重的用戶，很容易去點擊這些文檔導致自己蒙受損失。因此在這里也提醒用戶對于不知來歷的文檔，應特別小心，否則很容易中招。

　　四、 被利用的漏洞統計分析

　　通過對360互聯網安全中心截獲的漏洞文檔抽樣分析統計顯示， CVE-2017-0199漏洞被利用的次數最多，相關的漏洞文檔占比高達35.5%，這是由于該漏洞為2017年3月爆出的新漏洞，很多用戶未能及時打補丁，并且漏洞利用方法簡單，漏洞影響范圍廣，Windows操作系統之上的所有Office版本，包括在Windows 10上運行的最新Office 2016均受影響，危害程度極高。當用戶打開包含該漏洞的文檔（Microsoft Office RTF格式）時，此漏洞會下載并執行包含PowerShell命令的Visual Basic腳本，往往攻擊者只需要在VB腳本中配置自己的惡意程序地址就能構造一個惡意文檔，由于攻擊成本低且容易量產惡意文檔，所以該漏洞深受攻擊者喜愛。

　　除了CVE-2017-0199之外，漏洞受歡迎程序排名第二位和第三位分別是CVE-2012-0158和CVE-2015-1641，二者分別占比為17.5%和11.1%。雖然這兩類漏洞已經存在較長時間，但由于利用穩定，漏洞利用方法成熟，并且漏洞影響版本較多，因此也很受攻擊者青睞。

　　此外，CVE-2015-2545漏洞占比也較高，達到了8.3%。其中比較特別的是CVE-2010-0188漏洞，該漏洞為PDF漏洞，它在PDF漏洞中占比最高，在總的漏洞樣本占比也達到了6.5%，在該漏洞文檔中載荷通常為上述所說的直接連接服務端等待命令或者本地開放端口等待攻擊者主動連接。由于可利用的漏洞眾多，因此“其他”漏洞文檔占比達到了9.1%，其中包括了如CVE-2016-7193、CVE-2013-3906、CVE-2008-2992等漏洞。

　　據下圖統計顯示，攻擊者更偏向于使用影響版本廣且利用穩定的漏洞來進行攻擊，這樣有助于提高用戶中招概率，并且此類漏洞利用方法通常比較成熟，也能減少攻擊者前期準備時間和攻擊利用成本。

　　五、 被利用的漏洞變化趨勢分析

　　下圖給出了2017上半年被利用漏洞占比前五的變化趨勢，變化趨勢最為明顯的是CVE-2017-0199，該漏洞在2017年前三個月未被公開，其占比為0，但是被公開后其占比一路走高，在四月集中爆發，占比超過了所統計五類漏洞文檔的60%，說明該漏洞公開披露后被攻擊者廣泛利用，并且第五月繼續呈現出上升趨勢，但是在第六月逐漸下降，這跟漏洞補丁出現時間相關，雖然微軟在漏洞披露后快速發布了漏洞補丁，但是部分用戶并未意識到該漏洞的危害，打補丁存在延遲，這也是六月份漏洞文檔才逐漸下降的原因。

　　其次，在360互聯網安全中心2017上半年截獲的所有漏洞文檔中，CVE-2012-0158占據比例一直偏高，在第三月超過了總量的百分之六十，說明了CVE-2012-0158漏洞很受攻擊者歡迎，被利用的次數居高不下，并且該漏洞也經常出現在APT攻擊中。與此對應的還有CVE-2015-1641漏洞，該漏洞在前三個月一直處于緩慢上升階段，但是在四月份下降比較明顯，這是由于攻擊者將目標瞄準了其他高危漏洞，如CVE-2017-0199漏洞。另外，CVE-2015-2545漏洞被利用的次數一直趨于穩定，并且此類漏洞文檔一般是通過現有模版配置生成。

　　另外需要注意的是CVE-2010-0188漏洞，該漏洞屬于Adobe Reader漏洞，該漏洞在統計的漏洞中一直處在最低位置，由于Adobe Reader更新很頻繁，打補丁的速度很快，很多攻擊者通過此漏洞攻擊容易失敗，這直接導致了該漏洞利用率較低。

　　第二章 漏洞文檔載荷綜述

　　一、 載荷功能分析

　　下圖給出了漏洞文檔載荷下載或釋放的惡意程序功能占比，可以看出在所有的惡意程序中，遠控木馬和信息盜取木馬依然是主流，分別達到了36.6%和29.3%。遠控木馬會使用戶計算機變成肉雞，并隨時竊取用戶資料，并且攻擊者通常也會使用肉雞進行二次攻擊，如DDOS等。信息竊取木馬會獲取計算機上保存的郵件賬戶密碼和瀏覽器中保存的賬戶密碼。此外，下載者占比也達到了20%，這類程序通常是連接云端下載惡意程序，以便更好的控制用戶計算機，或進行推廣以達到盈利目的。

　　需要特別引起注意的是，隨著惡意軟件的發展，越來越多的攻擊者傾向于開始傾向于直接獲取利益，這直接導致了敲詐者病毒的泛濫。2017年上半年統計數據顯示漏洞文檔攜帶的敲詐者病毒占比達到5.2%。敲詐者病毒是一種通過加密用戶重要文件向用戶敲詐錢財的惡意程序，很多用戶中招后，即使支付贖金，也未必能找回重要文件。在今年5月12日，爆發了“WanaCrypt0r”（永恒之藍）勒索病毒，使全球多個國家的地區機構及個人電腦遭受攻擊，據不完全統計，它在爆發后的幾個小時內就迅速攻擊了99個國家的近萬臺設備，并在大量企業組織和個人間蔓延，因此敲詐者病毒不容忽視，建議用戶保持殺毒軟件隨時開啟，不要打開來路不明的程序和文件。此外，在今年6月27日，爆發了Petya勒索病毒，使烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭受襲擊，其政府、銀行、電力系統、通訊系統、企業以及機場都受到了不同程度的影響。通過今年爆發的兩次大規模敲詐者病毒中招事件，可以看出敲詐者病毒的盈利模式與技術模式越來越受攻擊者喜愛，未來敲詐者病毒將越來越流行。

　　二、 載荷文件類型分析

　　從下圖的文件類型分析可以看出，漏洞文檔釋放或下載的文件類型也更加的多元化，從傳統的PE文件到各種腳本文件，以及JAR文件。但是傳統的PE文件依然是主流，其中EXE和DLL依然分別占70%和16%。另外不容忽視的是，木馬作者對腳本的使用也越來越多，其中VBS和JS分別占7.1%和3.1%。腳本文件有開發速度快，語法簡單而且強大，易混淆等特點，因此在越來越多的漏洞利用樣本中被使用。

　　除PE文件和腳本文件外，最近還捕獲到JAR的遠控樣本。這種變化是由于殺毒軟件對傳統的PE文件的查殺越來越完善，對混淆加殼等技術手段處理后的PE類型的木馬病毒也能很好的進行查殺?，F在越來越多的計算機會安裝JAVA運行環境，木馬作者為了更好的躲避殺毒軟件查殺而選擇使用JAVA進行木馬開發。雖然現在JAVA開發的樣本依然較少，JAR類型的惡意程序只占有1.0%，但卻代表了病毒木馬的一種發展趨勢，病毒木馬類型已經不再是傳統單一的PE文件形式了，而是多元化的發展。

　　三、 載荷編譯器類型分析

　　通過對漏洞文檔載荷使用的編譯器類型統計分析，發現主流的開發語言依然是C/C++，排名第一，占比高達47.8%。其次是C#語言，占比為31.1%，C#語言由于開發簡單快速以及語法優雅等優點，近幾年得到了快速發展，很多攻擊者也開始選擇該語言進行惡意程序開發，但是由于未處理過的C#能夠直接反編譯，所以使用C#進行開發惡意程序的攻擊者基本還會進行混淆加殼，防止惡意程序被分析。與此同時，我們還發現越來越多的外殼程序開始使用C#語言進行開發。排名第三是VB語言，雖然占比達到15.4%，但是分析載荷時發現很多惡意程序是因為外殼代碼采用了VB語言編寫，當把殼代碼去掉后，主要惡意功能還是使用其他語言編寫，核心代碼使用VB語言開發的惡意程序相對較少。

　　令人比較詫異的是，使用傳統語言Delphi進行開發的惡意程序越來越少，只占3.2%，這與Delphi語言逐漸沒落有關，Delphi 7以后，盡管Delphi版本不斷升級改變，但都沒有得到廣泛應用，很多Delphi程序員轉向其他平臺，導致使用Delphi語言進行開發的程序員越來越少，這也是Delphi惡意程序占比較低的原因。

　　四、 載荷文件名分析

　　惡意程序為了更好的隱藏自己，通常會使用特殊的文件名用于迷惑用戶，以便能長時間駐留在用戶的計算機上。其中漏洞文檔載荷最常使用的文件名莫過于svchost.exe，占比高達48.3%，由于svchost.exe本身就是操作系統系統程序的名稱且一般都會存在多個svchost.exe進程，多出一個進程用戶也很難察覺到，所以該文件名被很多攻擊者使用。其他一些系統程序的文件名也常被使用，如winlogon.exe占13.7%，services.exe占比為5.5%，偽裝成這些文件名普通用戶很難被察覺。比較特殊的是plugin.dll文件名，該名字之所以出現比例達到7.1%，主要是由于利用CVE-2015-2545漏洞的樣本基本都會釋放出plugin.dll文件，再使用plugin.dll進行二次下載。

　　除使用系統程序的文件名外，攻擊者也會使用和系統程序文件名相似度較高的文件名，如iexplorer.exe文件名，該文件名與IE進程名iexplore.exe非常相似，很容易用于迷惑用戶。此外，在其他類別中主要包括bro.exe、name.exe及隨機文件名，用戶在網絡上要特別注意具有此類文件名的文件。

　　五、 載荷 C&C服務器地域分析

　　通過統計漏洞文檔載荷直接訪問或通過域名解析訪問的兩類C&C服務器，并通過IP查找服務器所在地發現，惡意程序作者所使用的C&C服務器地理位置主要集中在美國、俄羅斯以及德國，其中美國占比最高，達到了43.9%，成為C&C服務器數量最多的國家，排名第二與第三的是俄羅斯與德國，占比分別為15.2%和7.0%。緊隨其他的有英國、烏克蘭等地。

　　需要特別注意主要是，C&C服務器地域分布很廣，現在一些小國家也逐漸占據了一些比例、如巴拿馬與荷蘭都占據了3.5%。另外其他地域占據了9.4%，這中間主要包括了中國、法國、羅馬尼亞、巴西、捷克、伊拉克、土耳其、泰國、馬來西亞等國。

　　需要特別注意的是：部分攻擊者為了更好的隱藏自己，通常會使用除本國以外的其他地域C&C服務器，此類攻擊者很難被定位到具體位置。

　　六、 載荷 C&C服務器頂級域名分析

　　通過統計載荷直接使用域名訪問C&C服務器的漏洞文檔，發現攻擊者更喜歡.com的頂級域名作為C&C服務器，其占比高達61.1%，遠遠大于其他頂級域名，其原因可能在于.com域名是國際頂級域名，非國家域名，在國際上使用較早、運用范圍廣且申請容易，所以很多攻擊者選擇此類域名作為C&C服務器。令人比較詫異的是尼日利亞國家頂級域名.ng，排名第二，占比為10.4%，該域名在日常生活中所見不多，但是在漏洞文檔載荷中該域名出現的頻率較高，排名第三位的是.org域名，占比為6.8%。

　　需要特別注意的是，頂級域名.cn占比達到了2.6%，該類型的部分C&C地址可能是攻擊者控制的中轉服務器地址。另外，.info、.ru、.xyz等頂級域名在所有C&C地址服務器中也排名靠前，在其他類別中主要包括.us、.ga、.me、.cz、.ro、.in、.net等頂級域名。

　　七、 載荷 C&C服務器端口分析

　　通過統計載荷直接使用IP地址訪問C&C服務器的漏洞文檔，發現很多攻擊者偏向于使用443和80端口，占比居前二位，分別為32.8%與25.4%，其主要原因在于這兩個端口都是瀏覽網頁的常用端口，攻擊者使用該端口與C&C服務器進行通信時，通常不會被防火墻、網關等設備攔截，攻擊者正是利用這一點，才傾向于使用這兩個端口進行數據傳輸。此外，443端口主要用于HTTPS服務，是提供加密和通過安全端口傳輸的另一種HTTP，使用該端口安全性很高，攻擊者用443端口傳輸重要數據，不易被察覺，這說明了使用漏洞文檔進行攻擊的攻擊者很注重自身安全。排名第三的是8080端口，占比為18.3%， 8080端口廣泛被用于WWW代理服務，可以實現網頁瀏覽，攻擊者也常利用該端口進行攻擊。

　　需要特別注意的是，攻擊者也常使用4444與4455端口，這兩個端口之所以常被使用，是由于網絡上廣泛流傳的Metasploit漏洞攻擊教程的示例大多使用了這兩個端口，部分攻擊者依據教程配置荷載時也就同樣使用了這兩個端口。5552端口是部分后門程序常使用的端口，另外其他類別主要包括55555、8000、689等端口。

　　第三章 典型漏洞文檔案例分析

　　一、 經久不衰之 CVE-2012-0158

　　CVE-2012-0158漏洞是一個棧溢出漏洞，該漏洞是由于微軟Office辦公軟件在處理MSCOMCTL的ListView控件時檢查失誤造成的，攻擊者可以通過精心構造的數據控制程序EIP實現任意代碼執行。

　　CVE-2012-0158雖說2012年的漏洞，但其穩定性非常高，其加載惡意代碼方式可以為遠程下載，也可以附帶在文檔中釋放執行，在一些進行了網絡隔離的內網環境中因為系統升級慢，其攻擊效果往往比新漏洞效果更好，因此該漏洞很受攻擊者青睞，被利用的比例一直很高，從第一章統計的被利用漏洞占比的情況也可以看出該漏洞經久不衰，其占比達到了17.5%。

　　下面是一封附帶CVE-2012-0158漏洞文檔的郵件，其中附帶的文件名為Mariette Clermont IMM 2017.doc，安全意識薄弱的用戶通過郵件內容以及附帶的文件名會以為會正常的公司資料，從而打開附件中招。我們通過分析該文檔，發現文檔中嵌入了惡意載荷，通過CVE-2012-0158漏洞觸發。

　　調試該載荷，發現該漏洞觸發后會連接遠端地址，下載惡意程序，存放在臨時目錄。

　　通過分析下載文件，知道該文件為VB程序，運行后常見掛起的自身程序，注入惡意PE，該PE會利用開源程序CMemoryExecute、WebBrowserPass、mailpv盜取用戶信息，如瀏覽器、郵箱、ftp等帳號密碼。

　　在該實例中發現加載惡意代碼的方式是通過遠端下載惡意程序，這種方式在漏洞文檔中利用非常普遍，通過第一章統計的漏洞文檔載荷類型上看，運用該方式占到了68.5%。這種方式的好處是下載程序可以由作者自由更換，云控下載方式在漏洞文檔中非常廣泛。

　　另外，需要說明是通過漏洞文檔來盜取用戶信息越來越普遍，并且有上漲的趨勢，這間接說明了用戶數據泄漏現象越來越嚴重。在此也提醒廣大用戶注意自身數據的保護，加強安全意識，對于未知郵件需要謹慎處理。

　　二、 穩如泰山之 CVE-2015-1641

　　CVE-2015-1641漏洞為類型混淆漏洞，word在解析docx文檔處理displacedByCustomXML屬性時未對customXML對象進行驗證，可以傳入其他標簽對象進行處理，造成類型混淆，導致任意內存寫入，最終經過精心構造的標簽以及對應的屬性值可以造成遠程任意代碼執行。

　　該漏洞影響非常廣泛，覆蓋Office 2007 SP3，Office 2010 SP2（32位和64位），Office 2013 SP1（32位和64位），Office 2013RT SP1，Word for Mac 2011以及Office在SharePoint服務器上的Office 2010/2013和Office Web 2010/2013等應用，并且CVE-2015-1641這個漏洞觸發非常穩定，因此很受攻擊者喜愛，在2017年上半年被利用的漏洞統計中占比達到11.1%，并且從第一章的被利用的漏洞變化趨勢圖也可以看出，該漏洞每月出現的次數趨于穩定。

　　例如下面是一個利用CVE-2015-1641漏洞的RTF文檔，該RTF文檔內嵌3個OLE對象，第一個是加載ActiveX/COM objects otkloadr.WRAssembly.1，通過這個調用MSVCR71.DLL，MSVCR71.DLL在編譯時不加/DYNAMICBASE 選項，這樣庫內容的加載地址不變，用于繞過 ASLR 防護。其余兩個分別是嵌入的DOCX文檔，第一個DOCX通過Heap Spray定位shellcode并ROP過DEP防護(office2007中并未使用ROP過DEP)，第二個DOCX則是觸發漏洞的模塊，通過漏洞覆蓋MSVCR71.DLL中的全局函數地址指針跳轉到shellcode中執行。

　　通過調試該文檔發現，加載惡意代碼的方式不是直接的下載文件，而是通過將shellcode注入到svchost.exe系統進程中，從而執行惡意操作。

　　在所統計的文檔型漏洞文檔中，發現有相當部分漏洞文檔都是通過自身載荷注入到系統進程，然后執行惡意功能，或直接在內存中加載惡意程序，不會存放在用戶電腦中。因此，在今后很長一段時間內可能都會存在這種基于內存攻擊的方式，而不是簡單的下載文件并運行。

　　三、 不拘小節之 CVE-2015-2545

　　CVE-2015-2545是Microsoft Office在處理EPS文件時存在內存破壞，攻擊者可利用此漏洞構造惡意Office文件，允許惡意Office中的特殊的 Encapsulated PostScript (EPS)圖形文件任意執行代碼。

　　該漏洞影響MicrosoftOffice2007SP3、MicrosoftOffice2010SP2、MicrosoftOffice2013SP1、MicrosoftOffice2013RTSP1、MicrosoftOfficeforMac2011、MicrosoftOfficeforMac2016和MicrosoftOfficeCompatibilityPackSP3，并且該漏洞有相對應的模版文檔，我們發現攻擊者在利用CVE-2015-2545漏洞時大部分都是基于該模版配置生成。漏洞模版界面如下。

　　打開漏洞文檔，首先彈出上圖所示的模版內容，接著會加載嵌入的EPS文件，該文件是個PostScript腳本。PostScript 腳本在處理forall指令時，存在Use-After-Free。通過精心構造PostScript 腳本能導致任意內存寫入，最終造成遠程任意代碼執行。下圖是PostScript 腳本文件中的觸發漏洞的forall語句。

　　利用該模版的樣本首先會釋放plugin.dll并加載執行，plugin.dll運行后又會釋放igfxe.exe并執行，igfxe.exe主要功能是下載其他的惡意程序并執行。利用該模版的樣本只有igfxe.exe中的下載地址不同，其它流程一致。同時還發現利用該漏洞模版進行下載的惡意程序大部分都為遠控木馬，如NanoCore，LuminosityLink RAT等。

　　此外，需要引起重視的是，在Office 2010及以上的Office版本中，微軟采取了在沙盒中解析EPS文件的方式來緩解EPS文件解析過程中出現的漏洞，但在今年上半年陸續出現的高危EPS漏洞(如CVE-2017-0261、CVE-2017-0262)中，攻擊者利用這些漏洞結合其他Windows提權漏洞（如CVE-2017-0001、CVE-2017-0263）來繞過Office文檔的沙盒保護，從而實現攻擊目的?？梢灶A測，這種通過利用多個漏洞的相互配合來完成一次高級攻擊的技巧或許將會成為一種趨勢。

　　四、 后起之秀之 CVE-2017-0199

　　CVE-2017-0199是Microsoft Office的OLE處理機制實現上存在的一個邏輯漏洞，Microsoft Office在處理內嵌OLE2LINK對象時，通過網絡更新對象時未正確處理Content-Type所形成的一個漏洞。攻擊者可利用此漏洞構造惡意Office文件，當用戶打開特殊構造的惡意Office文件后攻擊者可以在用戶系統上執行任意命令，從而控制用戶系統。

　　該漏洞影響非常廣泛，覆蓋Microsoft Office所有版本，且構造惡意文檔相對其它漏洞更加簡單，因此當該漏洞在上半年三月份被披露時大量爆發，在四月份集中爆發，一度掩蓋經典漏洞CVE-2012-0158的光輝，成為攻擊者的寵兒，同時它的載荷也非常廣泛，從常用的信息盜取木馬、遠控木馬和下載者，再到最近敏感的敲詐者都有涉及。由于敲詐者相對其它病毒木馬能夠直接獲取利益，越來越多的攻擊者開始使用敲詐者牟利，今年5月12日爆發了“WanaCrypt0r”（永恒之藍）勒索病毒和6月27日爆發的Petya勒索病毒，這說明了敲詐者病毒越來越流行，攻擊者也樂于使用它們進行牟利。

　　下圖是利用CVE-2017-0199的漏洞文檔下載敲詐者病毒運行后的界面，該敲詐者會加密用戶計算機上的重要文件，并提醒用戶支付贖金購買解密軟件，但未必用戶支付了贖金就能找回重要文件。

　　且在最近的研究中我們還發現，利用該漏洞的惡意Office文檔已經開始混淆更新的URL，如下。

　　另外，由于該漏洞利用簡單且覆蓋Microsoft Office所有版本，在以后很可能會成為像CVE-2012-0158一樣的經典存在而經久不衰。避免這種漏洞文檔最直接的方法是及時更新補丁。每當有新的漏洞被披露時，由于很多用戶未及時更新補丁，導致自己中招。

　　第四章 結尾

　　綜上所述，越來越多的攻擊者更加傾向于利用漏洞文檔來進行惡意行為，相比傳統的惡意程序更具有迷惑性。若攻擊者通過魚叉或水坑攻擊方式，并結合社會工程學手段，精心構造文檔名及偽裝內容，很多安全意識薄弱的用戶很容易中招。

　　在此，360互聯網安全中心提醒廣大用戶，陌生人發來的陌生文檔不要輕易打開，很可能該文檔攜帶惡意載荷，從而導致自己蒙受損失。同時也建議廣大用戶一定要在電腦中安裝安全軟件，并及時更新漏洞補丁，減少漏洞文檔觸發的可能性。

　　最后，提醒用戶，除了本文研究的漏洞文檔外，一些不是利用漏洞進行的惡意文檔文件所帶來的危害也不容忽略，例如：

　　一、惡意宏攻擊的文檔，針對該類文檔的防護，建議廣大用戶不要將Office宏安全設置為默認允許所有宏代碼執行，對于未知的宏不要輕易運行；

　　二、嵌入惡意鏈接的文檔，針對這類文檔不要輕易點擊未知鏈接，除非確認來源正常，以免遭受損失；

　　三、嵌入惡意PowerShell代碼的文檔，這種文檔一般為PowerPoint文檔，文檔中注冊了鼠標懸?；卣{函數，并在函數中調用惡意的PowerShell代碼，如“Zusy”文檔，這種文檔Office會提示用戶選擇是否需要執行該PowerShell代碼，但大多數用戶并不知道這代表什么，如果選擇了執行，則惡意的PowerShell代碼將從遠端下載其他惡意程序，從而控制用戶電腦。因此，提醒廣大用戶，請大家養成良好的計算機使用習慣，對于Office辦公軟件中未知的警告提示不要輕易選擇開啟或確認放行。

責任編輯：韓希宇