案例概述
近期,某企业单位部署的TSOC平台发现了利用“Office公式编辑器漏洞(CVE-2017-11882)”的攻击行为。此漏洞是一个潜伏了17年之久的漏洞,属于Office内存破坏漏洞,影响2017年11月前流行的所有Office版本,攻击者可以利用漏洞以当前用户身份执行任意命令(在2017年11月4日,微软发布的安全补丁包中已包括此漏洞的修复程序)。
泰合北斗服务团队接到通知后,第一时间通过安全管理平台进行响应处置,通过分析发现办公环境中某用户在不知情的情况下打开了一份恶意文档,导致触发Office公式编辑器漏洞(CVE-2017-11882),并连接远程恶意地址接收攻击指令。
事件分析
事件追溯
2018年1月11日,在某企业单位部署的TSOC平台中发现有“L2_MC_office漏洞外链链接“的事件告警。
同时,该企业单位的内网环境中部署了TSOC-FC流采集器(TSOC-FC为泰合安全管理平台流采集探针,通过网络流量镜像或/和接收网络FLOW数据,对常见协议解析如HTTP/DNS/FTP/SMB等协议会话信息进行记录,并将信息上传给TSOC进行综合分析),对该告警事件进行追溯分析,发现流量日志中一个内网办公终端尝试访问“http://gamesarena.gdn”的日志记录。
事件分析
收集域名”http://gamesarena.gdn”的威胁情报,通过威胁情报查询到该域名和2017年11月份的”office公式编辑器”漏洞有关联。
将该事件的内网地址作为目的地址进行调查,查看近期外网对该内网地址的其他连接事件,其中发现了“POP3_可执行的邮件附件传递“事件,附件名称为“2017.doc”。
对所有的事件进行关联分析,将整个攻击流程描绘出来如下:
攻击者通过邮件的形式发送带有恶意附件的邮件给受害者,当受害者打开附件并启用编辑后,受害者的主机会对连接文档中的恶意地址,去获取攻击指令,但由于http://gamesarena.gdn目前已经无法访问,受害者主机无法获取进一步的指令。
事件响应
针对该事件分析处置,泰合北斗服务团队依托泰合安全管理平台建立了监测规则,用于对该攻击行为进行实时监控和告警,规则如下:
针对本次案例中的问题,北斗团队建议用户采取如下措施:
1)建议安装2017年11月份微软发布的补丁(KB2553204、KB3162047、KB4011276和KB4011262),用于修复CVE-2017-11882漏洞。
2)打开系统自动更新,及时更新微软官方的最新补丁。
3)对受害主机进行全面查杀。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号