案例概述
近期,�,�,�,�,�,某企业单位安排的TSOC平台发明了使用“Office公式编辑器误差(CVE-2017-11882)”的攻击行为。�。�。。。此误差是一个潜在了17年之久的误差,�,�,�,�,�,属于Office内存破损误差,�,�,�,�,�,影响2017年11月前盛行的所有Office版本,�,�,�,�,�,攻击者可以使用误差以目今用户身份执行恣意下令(在2017年11月4日,�,�,�,�,�,微软宣布的清静补丁包中已包括此误差的修复程序)。�。�。。。
泰合北斗效劳团队接到通知后,�,�,�,�,�,第一时间通过清静治理平台举行响应处置惩罚,�,�,�,�,�,通太过析发明办公情形中某用户在不知情的情形下翻开了一份恶意文档,�,�,�,�,�,导致触发Office公式编辑器误差(CVE-2017-11882),�,�,�,�,�,并毗连远程恶意地点吸收攻击指令。�。�。。。
事务剖析
事务追溯
2018年1月11日,�,�,�,�,�,在某企业单位安排的TSOC平台中发明有“L2_MC_office误差外链链接“的事务告警。�。�。。。
同时,�,�,�,�,�,该企业单位的内网情形中安排了TSOC-FC流收罗器(TSOC-FC为泰合清静治理平台流收罗探针,�,�,�,�,�,通过网络流量镜像或/和吸收网络FLOW数据,�,�,�,�,�,对常见协议剖析如HTTP/DNS/FTP/SMB等协议会话信息举行纪录,�,�,�,�,�,并将信息上传给TSOC举行综合剖析),�,�,�,�,�,对该告警事务举行追溯剖析,�,�,�,�,�,发明流量日志中一个内网办公终端实验会见“http://gamesarena.gdn”的日志纪录。�。�。。。
事务剖析
网络域名”http://gamesarena.gdn”的威胁情报,�,�,�,�,�,通过威胁情报盘问到该域名和2017年11月份的”office公式编辑器”误差有关联。�。�。。。
将该事务的内网地点作为目的地点举行视察,�,�,�,�,�,审查近期外网对该内网地点的其他毗连事务,�,�,�,�,�,其中发明了“POP3_可执行的邮件附件转达“事务,�,�,�,�,�,附件名称为“2017.doc”。�。�。。。
对所有的事务举行关联剖析,�,�,�,�,�,将整个攻击流程描绘出来如下:
攻击者通过邮件的形式发送带有恶意附件的邮件给受害者,�,�,�,�,�,当受害者翻开附件并启用编辑后,�,�,�,�,�,受害者的主时机对毗连文档中的恶意地点,�,�,�,�,�,去获取攻击指令,�,�,�,�,�,但由于http://gamesarena.gdn现在已经无法会见,�,�,�,�,�,受害者主机无法获取进一步的指令。�。�。。。
事务响应
针对该事务剖析处置惩罚,�,�,�,�,�,泰合北斗效劳团队依托泰合清静治理平台建设了监测规则,�,�,�,�,�,用于对该攻击行为举行实时监控和告警,�,�,�,�,�,规则如下:
针对本次案例中的问题,�,�,�,�,�,北斗团队建议用户接纳如下步伐:
1)建议装置2017年11月份微软宣布的补丁(KB2553204、KB3162047、KB4011276和KB4011262),�,�,�,�,�,用于修复CVE-2017-11882误差。�。�。。。
2)翻开系统自动更新,�,�,�,�,�,实时更新微软官方的最新补丁。�。�。。。
3)对受害主机举行周全查杀。�。�。。。
(泉源:918博天堂)
京公网安备11010802024551号