近日, 360安全中心在全球範圍內率先監測到一例使用0day漏洞的APT攻擊, 經分析發現, 該攻擊是全球首個使用流覽器0day漏洞的新型Office文檔攻擊。 只要打開惡意文檔就可能中招, 被駭客植入後門木馬甚至完全控制電腦。
通過分析溯源, 360已完整捕獲駭客攻擊過程, 第一時間向微軟報告流覽器0day漏洞細節, 並將該漏洞命名為“雙殺”漏洞。 “雙殺”漏洞可影響最新版本的IE流覽器及使用IE內核的應用程式。 目前, 360正緊急推進該漏洞的補丁發佈。 在此期間提醒相關用戶, 請勿隨意打開陌生的Office文檔, 同時使用安全軟體防護可能出現的攻擊。
駭客是通過投遞內嵌惡意網頁的Office文檔的形式實施此次APT攻擊, 中招者打開文檔後, 所有的漏洞利用代碼和惡意荷載都通過遠端的伺服器載入。 攻擊的後期利用階段使用了公開的UAC繞過技術, 並利用了檔隱寫技術和記憶體反射載入的方式來避免流量監測和實現無檔落地載入。
圖:惡意程式邏輯整體執行流程
近年來, 使用者量龐大、看似安全無害Office文檔已逐漸成為APT攻擊最青睞的載體。 打開搭載了“雙殺”漏洞的惡意文檔, 惡意網頁將在後臺靜默運行並執行攻擊程式, 使用者甚至還未感知得到, 設備就已經被控制, 駭客可趁機進行植入勒索病毒、監聽監控、竊取敏感資訊等任意操作。
在此, 360安全中心提醒相關用戶, 請勿隨意打開未知來路的office文檔。 同時, 提醒各相關企、事業單位, 警惕利用“雙殺”漏洞發動的定向攻擊, 密切跟蹤該漏洞的最新情況,