近几个月来各行业针对Office漏洞利用的攻击越来越多。Office 365威胁研究团队对这些利用进行了分析，并描述了与这些漏洞利用有关的payload，最后证明了Office 365 Advanced Threat Protection, Windows Defender Advanced Threat Protection和 Windows Defender Exploit Guard 如何保护用户远离这些利用的威胁。

2017年秋的漏洞利用攻击

过去6个月发现和公开了一些office漏洞利用，这些利用在网络犯罪和特定目标攻击中非常流行。当犯罪软件攻击者坚持使用勒索软件和信息窃取器作为payload来获得经济收益或信息窃取时，更加熟练的攻击者使用高级和多阶段植入进行区分了。

Office 365威胁研究团队密切监控了这些攻击。Microsoft Threat Intelligence Center (MSTIC)对威胁研究提供了威胁确保服务，用来关联和追踪攻击和背后的threat actors。、

CVE-2017-0199

CVE-2017-0199 是office中的远程代码执行漏洞，如果用户选择忽略受保护的视图警告消息，那么远程攻击者就可以控制有漏洞的机器。该漏洞是URL moniker中的逻辑漏洞，URL moniker会用htafile OLE 对象来执行HTA内容，该漏洞在2017年4月的安全更新中修复。

Figure 1. CVE-2017-0199 利用代码

FireEye发布了该漏洞之后，我们发现了利用该漏洞的多起攻击。最初的攻击被用于有限的目标攻击，不久，商业化的犯罪软件开始把公共利用生成器工具箱中加入他们。如图2所示，creator和lastModifiedBy属性可以帮助找出在生成利用文档时所使用的工具箱。

Figure 2. 利用工具识别器

该利用的一个变种很快就发布了，这次是在script moniker中。被激活后，该漏洞可以运行远程服务器上的scriptlets（包含HTML代码和脚本）。公开的PoC是使用PowerPoint Slideshow (PPSX)文件来激活script moniker并执行远程代码，如图3所示。

Figure 3. PPSX激活script moniker

CVE-2017-8570

2017年7月的微软安全更新包含CVE-2017-0199利用的另一个变种——CVE-2017-8570。CVE-2017-8570是在URL moniker中发现的，与HTA文件类似，可以启动远程服务器上的scriptlets。即使该漏洞不是0day漏洞，该利用工具箱的公开仍创造了一波恶意的PPSX附件。

CVE-2017-8759

2017年9月，FireEye发现了有针对攻击中使用的另一个利用。CVE-2017-8759利用利用了在用SOAP moniker进行WSDL定义语法分析时的.net框架的代码注入漏洞。该漏洞在9月的安全更新中修复。与CVE-2017-0199 类似，使用HTA文件的原始利用可以在有漏洞的机器上执行攻击者代码。CVE-2017-8759很快被移植到PPSX文件中，图4是CVE-2017-8759利用的例子。

Figure 4. CVE-2017-8759利用

CVE-2017-11826

2017年9月28日，360在一起利用office内存破坏漏洞的有针对攻击中发现利用了RTF文件。该漏洞存在于office在嵌套office标签内分析对象的方式，该漏洞于10月修复。强制地址空间布局随机化（ASLR）可以防止利用在office2013及以上版本运行。图5是可以导致该bug的嵌套标签。

Figure 5. CVE-2017-11826利用

Payloads

除了内存破坏利用CVE-2017-11826外，文中其他的漏洞利用都是从远程主机取回payload，这让反病毒和沙箱很难检测这些漏洞利用。公开的生成利用模版的脚本让应急响应变得很具挑战。这些漏洞利用被用于商业和有针对性的攻击。攻击者尝试利用不同的混淆技术绕过AV引擎的防御，下面是研究和分析中发现的一些混淆技术：

·攻击者把HLFL作为恶意RTF附件的元素类型。该元素在RTF官方说明中是不支持的，但是在静态检测中起到一种混淆作用。

· 攻击者在RTF附件中也使用了“ATNREF”和“MEQARR”元素。

 在大多数的攻击中，漏洞利用使用powershell来下载和执行payload，这在犯罪软件样本中也是很常见的。

Figure 6. HTA文件中的powershell payload

Wingbird（FinFisher）就是利用CVE-2017-8759的针对性攻击。

WingBird ( FinFisher)

Wingbird是一款高级的恶意软件，它与政府级的商业监控软件FinFisher共享特征。NEODYMIUM就是使用Wingbird恶意软件发起攻击的组织。 

WingBird背后的组织已经被证明拥有使用0day漏洞进行攻击的能力。研究发现该组织使用了以下漏洞： 

· CVE-2015-5119 (Adobe Flash)

· CVE-2016-4117 (Adobe Flash)

· CVE-2017-8759 (Microsoft Office)

· CVE-2017-11292 (Adobe Flash)

WingBird使用了spaghetti code，多虚拟机，许多反debug和反分析技术。因为该威胁的复杂性，分析师需要一些时间来阐明恶意软件的功能。Wingbird恶意软件有多个执行阶段，至少4个虚拟机来保护恶意软件代码。第一阶段是loaders，loaders可以检测有没有在虚拟化或调试器环境中运行。我们发现至少12种不同的方法来避免恶意软件在这些环境中运行，最有效的检查有：

· 沙箱环境检查

o 检查恶意软件是否在root文件夹下执行

o 检查恶意软件文件是否可以从外部可读，执行路径是否含有本身内容的MD5

· 指纹检测

o 检查机器的GUID、Windows产品ID、系统BIOS的源是否可靠

· VM检测

o 检查机器硬件ID是HyperV、VEN_15AD或者VMware

· 调试器检测 

o 检测调试器，用非官方的API和信息类来结束调试器

后面的阶段像一个安装程序，能够删除磁盘中的文件、安装基于从下面阶段接收到的开始命令的恶意软件：

· [randomName].cab – 加密的配置文件
· setup.cab – setup模块最后的PE代码部分，内容未知
· d3d9.dll – 限制权限的恶意软件loader，该模块是由VM保护的
· aepic.dll  – admin权限系统使用的恶意软件loader，是从一个假的服务中执行的，由一个VM保护
· msvcr90.dll – 注入 “explorer.exe” 或 “winlogon.exe”进程的loader DLL，由一个VM保护
· [randomName].7z – 加密的网络插件，用于监测受害者网络通信
· wsecedit.rar – 主要恶意软件删除的可执行文件，由一个VM保护

在分析的恶意软件样本中，命令是3，可以让恶意软件创建全局事件0x0A7F1FFAB12BB2，在%ProgramData%或者%APPDATA%文件夹下的文件夹中删除恶意软件组件。如果恶意软件在限制的权限下运行，通过设置RUN key为下面的值来获取持久化。Key的名字是从加密的配置文件中获取的。

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
Value: “{Random value taken from config file}”
With data: “C:WINDOWSSYSTEM32RUNDLL32.EXE C:PROGRAMDATAAUDITAPPD3D9.DLL, CONTROL_RUN”

如果开始命令是2，本地安装目录的恶意软件副本explorer.exe重命名d3d9.dll为uxtheme.dll，并会创建新的explorer.exe，用DLL sideloading技术在内存中加载恶意软件DLL。

所有的WingBirds插件存储在资源部分，提供给恶意软件不同的功能，包括窃取敏感信息，监测网络连接甚至转移SSL连接。

用office365APT和Windows Defender套件检测office利用攻击

Microsoft Office 365 Advanced Threat Protection用恶意行为检测的方式拦截这些office利用攻击。Office 365 ATP通过拦截含有不安全附件、恶意链接的邮件来帮助确保邮箱安全。SecOps职员可以看到ATP行为检测，如下图：

Figure 7. Office 365 ATP检测

使用Windows Defender Advanced Threat Protection的客户可以看到在被黑机器上执行漏洞活动引发的告警信息。Windows Defender Advanced ATP是泄露后的解决方案，可以向SecOps人员发出恶意活动的告警消息。Windows Defender ATP用富安全数据、高级行为分析和机器学习的方法来检测攻击。

Figure 8. Windows Defender ATP 告警

除此以外，企业还可以用indows Defender Exploit Guard来拦截恶意文件，这是Windows 10秋季更新中的深度防御保护的一部分。Windows Defender Exploit Guard中的ASR（Attack Surface Reduction）特征使用一系列内置的智能，可以拦截恶意文档中的恶意行为。ASR规则可以在outlook或者webmail中使用，来拦截恶意附件。

Figure 9. Windows Defender Exploit Guard detection

犯罪软件和针对性活动组织一直在寻来攻击单元来渗透系统和网络，应用从商品到高级植入物的不同种类的payload。这些攻击单元包括office利用，开源和现成的利用有又帮助发展了这种趋势。对微软来说，没有停歇在保护客户邮箱安全的努力。端到端的防御套件包括office 365APT，Windows Defender ATP和Windows Defender Exploit Guard，这些工具一起协作来提供对个人和企业用户的保护。