最近，瑞星安全研究人员Chao在"鱼叉攻击"挖掘系统中，发现了一封发给俄罗斯外贸银行的邮件，经过多年的经验积累，Chao很快就意识到这是一封钓鱼邮件，这很可能是一次专门针对俄罗斯外贸银行发起的APT攻击。

　　果然，经过研究样本分析发现，该邮件附件中存在一个含有病毒的word文档，一旦用户下载并打开此文档，攻击者就可以对受害者的机器进行控制，窃取其中任何信息。

　　瑞星安全研究人员Chao介绍，该word文档集成了近期流行的office逻辑漏洞CVE-2017-0199，并且还巧妙地使用到了RTF的一个机制来实现攻击。病毒先利用RTF机制释放病毒程序，然后利用CVE-2017-0199漏洞远程下载并执行病毒脚本，最后利用下载的脚本运行病毒程序。

　　图：APT攻击流程图

　　瑞星安全专家根据病毒脚本和服务器通信的网络数据包特征，基本可以确定击者利用了Micorsoft Word Intruder（MWI）发起了此次攻击。

　　MWI是一个漏洞利用攻击平台，由俄罗斯人开发，并在黑市销售。

　　2013年8月，"卡巴斯基"研究人员发现了疑似MWI的早期版本。2015年1月由国外安全研究机构"FireEye"曝光了负责和控制服务器通信的新模块MWISTAT，之后MWI才逐渐进入人们的视线。

　　MWI作者一直处于活跃状态，每当有新漏洞被发现，作者就把新的漏洞利用代码集成到工具中，再销售给各个犯罪团伙。早在2015年，研究者就发现 MWI攻击平台已经帮助数十个网络犯罪团伙，从多个不同的恶意软件家族中提供数百种不同的恶意软件，涵盖了大多数恶意软件类型。

　　这种MWI漏洞利用攻击平台，投资小，见效快，广受犯罪团伙的欢迎，被广泛用于传播勒索、盗号、远控等软件。由于存在巨大的利益驱使，MWI和其它类似软件的作者们，仍会继续增加对新漏洞利用，所以及时更新补丁至关重要。

　　此外，如果出于利益需求，这些攻击平台的作者，也是有可能在黑市上购买未知漏洞，添加利用代码到新版本中。安全厂商面临的形式将更加严峻，需要不断提高主动防御能力，结合机器学习等方式，提高对未知病毒的查杀能力。

　　MWI历史回顾

　　2013年8月利用CVE-2012-0158 传播Gimemo 勒索软件，攻击者IP在德国，受害者分布在说俄语的国家，这次攻击被认为是捕获到的最早利用MWI进行的攻击。

　　紧接着没过多久就发现了添加了CVE-2010-3333漏洞的版本。

　　2013年12月，研究人员捕获到新的版本，新版本引入了第三个漏洞CVE-2013-3906。

　　2014年6月8日增加了第四个漏洞CVE-2014-1761。

　　2014年12月，"FireEye"发现了MWI增加了与服务器通信的模块，被称为MWISTAT。

　　2016年7月，研究人员发现，新版本增加了CVE-2015-1641漏洞。

　　2016年7月中旬，MWI在黑市的广告中，宣称新版本集成了CVE-2016-4117漏洞（Adobe Flash Player）。

　　2016年8月底 发布了MWI8，同时支持以下漏洞。

　　表：MWI8支持漏洞

　　MWI曾经投递的恶意软件家族

　　表：恶意软件家族

　　后来MWI软件持续升级，杀软持续查杀，在这种对抗中，软件作者开始限制此软件的使用，要求购买MWI的用户只用在小规模的针对性攻击中，而不能大范围投递恶意邮件。减小被捕获的概率，增加生存时间。

　　由于只是小规模针对性投放，外界看来MWI好像是销声匿迹了。然而直到近期又捕获到一个利用了最近比较流行的漏洞CVE-2017-0199的版本，进一步证明了MWI的作者一直在持续迭代更新，犯罪团伙仍在利用此工具进行攻击活动。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。