基于Cobalt Strike 和Office漏洞的入侵者反制研究.docVIP

基于Cobalt Strike 和Office漏洞的入侵者反制研究 　　摘 要：当今时代，虚拟的计算机网络空间已被视为一个主权国家极其重要的“第五空间”。网络安全的问题也与人们的生活更加密切。然而，传统的安全防御机制始终处于被动式的防御机制，不能对入侵者进行及时地制裁。通过入侵者反制研究，可以将被动式的防御变为主动的防御，更大限度地保障网络安全，并为攻击过后的溯源调查增加更多的依据。 　　关键词：网络安全 ；主动防御 ；计算机网络 　　中图分类号：TP393.08 文献标识码：B 　　Research on intruder intrusion based on cobalt strike and office vulnerabilities 　　Abstract： At present， cyberspace has been regarded as the fifth space after land， sea， air and sky. People also pay more and more attention to the problem of network security. However， the traditional security defense mechanism is always in the passive defense mechanism， and can not punish the intruder in time. Through the research of intruder， we can change the passive defense into active defense， and guarantee the network security to a greater extent. And add more evidence to the investigation after the attack. 　　Key words： network security； active defense； compute network 　　1 引言 　　众所周知，微软公司的Microsoft Office产品无论在国内还是国外都占有很大的市场量。而其软件的安全问题也引起了国内外安全组织或者黑客的关注。黑客们也从利用Microsoft Office的宏病毒进行入侵，变成了利用针对不同文档格式的解析漏洞进行入侵。 　　Office软件均采用了具有复杂数据结构的OLE2的复合文档类型。复杂的数据结构往往导致软件容易出行漏洞，近年来Office漏洞也在持续地暴露出来，并且在诸多已经发生的APT的案例中，有不计其数的入侵者利用Office漏洞来进行鱼叉式钓鱼攻击或其他社会工程学渗透。 　　通过分析近几年来的安全事件，不?y发现利用Microsoft Office产品的漏洞来进行钓鱼攻击甚至APT攻击的，更是在网络攻击中占了很大的比重。其中，著名的APT事件中有利用word类型混淆漏洞的“丰收行动”事件、福岛核电站APT事件等，都利用了Office漏洞。可见，在全球范围内的很多APT攻击事件的黑客们，都喜欢利用Office漏洞来进行植入后门、长期监听等。同时，因为Microsoft Office的高频使用以及许多用户并不会及时更新等诸多原因，也正因此入侵者选择利用Office漏洞制作钓鱼文档是最为快捷实用的方法。 　　正因如上的种种客观因素，本文将研究利用蜜罐系统和Office漏洞进行组合来打破以往的被动式防御，而变成一种针对入侵者反制机制来进行主动性的防御，以达到对入侵者达到震慑性威慑效果。考虑到挖掘Office的0 day漏洞将会付出很多的时间成本和人力成本。所以在此次研究中，将会利用已知的Office 1day漏洞来作为主要的利用漏洞。本次研究中选出了比较具有代表性也是一个较新的Office漏洞CVE-2017-0199做了具体的描述。 　　鉴于此次研究更多是内网中的安全防御方向，所以本研究实验都将在局域网环境中进行。为了更加方便进行反制的使用者进行操作，本研究将利用已有的Cobalt Strike软件与漏洞文档相结合进行实验。 　　2 Microsoft Office文档格式分析 　　Microsoft Office文档具有复杂的数据结构是一种经典的复合文档，并且基于其OLE存储模式。也正因为其“文件中包换文件”使得Office文档可以集成各种数据或者组件，并且在这种文件系统的情况下，使得诸如音频或图像等信息，也可以作为独立的对象包含在文档里。 　　Microsoft Office 文档可以包含多种元数据。一个典型的Office Word 的文档