出處:2017魚叉***郵件研究報告{https://www.anquanke.com/post/id/87938}
主要爲三類
(1)惡意宏文檔
(2)利用漏洞
常見的有:
CVE-2017-0199
CVE-2012-0158
CVE-2015-1641
CVE-2017-11882
CVE-2017-8759
CVE-2017-11826
CVE-2017-8464
CVE-2014-6352
(3)嵌入帶交互的惡意對象或直接嵌入惡意PE程序的文檔
“帶交互的惡意對象”利用***主要是指 Object Linking***和DDE(動態數據交換)***。其中嵌入惡意Object Linking文檔一般爲PowerPoint文檔,需要進行交互,含有PowerShell代碼,如“Zusy”文檔,該文檔註冊了鼠標懸停回調函數,當用戶鼠標懸停在鏈接上,就調用惡意的PowerShell代碼。
DDE***主要是指***者可以創建包含DDE字段的惡意Word或RTF或Outlook文件,打開命令提示符,運行惡意代碼。通常情況下,針對帶交互的惡意對象的文檔***,Office應用程序會發出警告提示。因此對此類文檔的防護,建議用戶對office辦公軟件中未知的警告提示不要輕易選擇開啓或確認放行。
案例研究樣本:
(1)漏洞
MD5:8993f927beaf8daa02bb792c86c2b5e0
(2)宏代碼
MD5:4d66bfa3f0ae74301edc82b0791e3c10
(3)交互式
MD5:
(4)嵌入帶毒程序
MD5: 71e5481abd8c5f260299f18614d43ea1
發現的其他網址:http://theadawrightiii.com/