360年度报告：Office漏洞成APT攻击最青睐武器

相比于其他较为复杂的系统漏洞，难守易攻的Office漏洞以其构造简单、成本低廉等特点，成为APT组织的重要攻击手段。近日，360威胁情报中心发布《2017中国高级持续性威胁（APT）研究报告》（以下简称报告），结合2017年各大APT攻击事件指出，Office漏洞成为当前APT攻击焦点。

“无色无味”的隐形毒药——Office漏洞攻击

2017年是全球APT攻击空前活跃的一年，根据360威胁情报中心监测到的APT攻击结果显示，截至2017年12月底，360威胁情报中心共发现针对中国的境内外APT组织共38个，其中2017年处于高度活跃状态的有6个。《报告》指出，这些攻击至少影响了中国境内超过万台电脑，攻击范围遍布国内31个省级行政区。

《报告》监测研究结果表明，在这高度活跃状态的6个APT攻击中，海莲花、摩诃草等著名攻击事件均发现利用Office漏洞进行鱼叉邮件攻击的情况，Office漏洞已然成为APT组织的重要攻击手段。

对APT攻击中常见的Office漏洞利用情况，《报告》对此进行了分类总结，将其主要分为逻辑型漏洞、内存破坏型漏洞和其他特殊类型漏洞。由于Office的复杂性为黑客带来不少可利用的攻击面，Office漏洞结构稳定，容易触发，深受APT组织的喜爱。

以针对中国、巴基斯坦等亚洲地区进行网络间谍活动的摩诃草为例，该组织频繁使用针对微软Office系列的文档漏洞（CVE－2017－0199等），利用鱼叉邮件攻击窃取敏感信息。根据360威胁情报中心监控，发现摩诃草组织在2017年下半年跟进使用了CVE－2017－0261＋CVE－2016－7255的组合，在11月至12月初发起了多次攻击。

同样在2017年，各家安全厂商还披露了多起APT28组织的活动，利用Office 0day漏洞、Flash Nday漏洞和DDE技术，向法国大选候选人马克龙、欧洲与美国政府机构及航空航天私营部门发动攻击，造成的危害十分严重。

基于Office庞大的用户群体和看似无害的形象，加上Office漏洞成本较低、构造简单、触发稳定等特点，使得Office漏洞深受APT组织青睐，而人们对于Office漏洞的警惕性较差，因而一旦APT组织发动攻击，造成的后果和影响范围难以估计。

随着军火民用化的APT发展趋势，Offcie 0day漏洞不仅是APT的最爱，黑客还有可能利用这些已曝光的漏洞实现对普通网民的攻击，远程控制网民的电脑，让电脑成为“肉鸡”。

2017年11月，微软发布安全补丁，修复了潜伏17年之久的Office远程代码执行漏洞（CVE－2017－11882），该漏洞对所有主流Office版本通杀，并已被不法黑客利用，只要用户打开恶意文档，电脑就会被黑客远程控制。

微软只针对Office2007 sp3、Office2010 sp2、Office2016及以上的版本提供补丁，部分老版本Office用户则无法修补漏洞，360安全卫士已率先实现对此漏洞的“无补丁防护”，在没有打补丁的情况下，也能确保老版本Office用户的系统安全。

就当前全球APT攻击整体态势而言，与各行各业息息相关的Office漏洞已经成为不可忽视的网络武器，且军火民用化特点日益显著，令普通网民难以察觉、杀伤力十分巨大。面对当前Office漏洞攻击形势，为避免成为黑客军火民用化扩散的牺牲品，普通网民除了提高自身警惕之外，还应及时更新系统，为电脑打补丁。

此外，安全专家建议各位用户可借助于360安全卫士等软件，及时检测系统更新，拦截有风险的程序。2017年，360多次率先捕获office 0day漏洞攻击，并协助微软修补漏洞，及时推出应对措施，让用户安心免疫Office漏洞攻击。