微软Word漏洞再被利用，对以色列目标施以打击

E安全5月6日讯根据网络安全专家的报告，与伊朗政府存在关联的黑客上个月通过最近披露的微软Word安全漏洞（这一漏洞已经被各类黑客广泛利用）对250多个以色列目标发起网络间谍入侵活动。

CVE-2017-0199漏洞涉及众多网络攻击

安全研究人员们将这一黑客组织命名为OilRig，并认为其与伊朗情报部门有所关联。以色列安全企业Morphisec公司副总裁迈克尔-戈雷利克（Michael Gorelik）解释称，其利用存在于微软Word当中的CVE-2017-0199漏洞以执行远程计算机入侵，从而在获取目标设备完整控制能力的同时几乎甚至完全不留任何痕迹。

本文首发于E安全官网

最近一个月以来，Morphisec公司对多家受害者进行了事件调查。客户们在自身网络中发现的取证信息亦被证明与OilRig确有关联。自今年3月披露以来，CVE-2017-0199迅速被众多国家支持型黑客与网络犯罪分子所利用。这一结果亦得到了iSIGHT Partners公司网络间谍分析师主管约翰-豪特奎斯特（John Hultquist）的确认。

豪特奎斯特指出，“最近确实发现部分攻击者及其他针对亚洲地区目标的网络间谍人员利用CVE-2017-0199漏洞。此项安全漏洞在未经修复的情况下会迅速扩散，且目前仍然广泛存在。”

根据众多关注以色列网络并采取不同追踪战术的安全行业专家透露，OilRig至少自2015年起即开始活动。

微软Word安全漏洞被如何利用？

要利用此项微软Word安全漏洞，目标必须打开或者预览一份受到感染的微软Office或者WordPad文件。OilRig将此文件广泛发送至成百上千个以色列打击目标处，其中包括多个政府机构与众多官员。在打开该文件后，OilRig设计的附件将下载Hanictor木马，而这是一种非文件恶意软件变体，能够绕过大多数安全与反病毒保护机制。

本月早些时候，即收到私营企业通知的九个月之后，微软终于对CVE-2017-0199问题进行了修复。然而，庞大的微软用户生态系统规模意味着修复补丁安装注定呈现出缓慢且可靠性极低的状态，且相当一部分漏洞在对应补丁发布后仍因未及时安装可被攻击者所利用。

OilRig黑客组织如何运用社会工程发起攻击？

来自华盛顿特区的风险投资商Strategic Cyber Ventures公司CEO汤姆-凯勒曼（Tom Kellermann）解释称，“OilRig建立起一条多阶段杀伤链，旨在渗透以色列的各关键性防御基础设施。”凯勒曼本人亦是另一家网络安全企业TrapX公司的主要投资者，该公司主要帮助客户检测并抵御来自伊朗的网络攻击活动。

据信，伊朗恶意活动始于一系列发送给本古里安大学教职员工的网络钓鱼邮件，且之后打击范围迅速扩展至以色列的各类技术与医疗公司。本古里安大学为以色列网络安全研究中心的所在地，而该网络安全研究中心则属于负责开发复杂网络能力的科研性机构。

戈雷利克表示，目前其正在进行一项调查以更好地了解黑客究竟造成了多大范围的危害。Morphisec公司于本周四上午针对OilRig攻击活动发表了技术分析。

根据以色列计算机应急小组于本周三发布的通知，调查人员已经确定黑客于4月16日激活了一系列命令与控制服务器，并利用其发起进攻性网络入侵活动。戈雷利克指出，第一轮网络钓鱼邮件的发出时间为4月19日，最后一轮则为4月24日。包含恶意软件的电子邮件主要采用伪造简历、考试与假期计划等主题。

攻击者如何利用CVE-2017-0199漏洞？

根据美国网络安全厂商FireEye公司的介绍，通过利用CVE-2018-0199漏洞，攻击者能够在用户打开包含有嵌入恶意代码的文档时下载并执行一份内置PowerShell命令的Visual Basic脚本。一旦漏洞遭到利用，有效载荷即可执行来自各类恶意软件的入侵功能。

FireEye公司此前就曾经发现众多黑客（包括政府支持型与网络犯罪分子）利用CVE-2017-0199漏洞对广泛受害者施以打击。

今年4月11日，FireEye公司的研究人员们对CVE-2017-0199相关攻击作出如下描述：

攻击者将包含嵌入式OLE2嵌入链接对象的微软Word文档通过电子邮件发送至目标用户处

当用户打开该文档时，winword.exe会向一台远程服务器发送一条HTTP请求以检索恶意HTA文件

服务器返回的文件为带有嵌入式恶意脚本的伪造RTF文件。Winword.exe会通过一个COM对象查找应用/hta文件处理程序，从而导致微软HTA应用程序（mshta.exe）加载并执行该恶意脚本。

OilRig漏洞利用手段非常罕见，安全人员难以修复

戈雷利克认为该伊朗黑客集团OilRig的技术水平相当先进。

因为这类漏洞利用手段非常罕见。OilRig在此基础上进行了改进，这是目前发现的最为先进的非文件恶意活动之一。其利用规模庞大的基础设施实施针对性攻击，而且由于不存在文件载体，因此其很难被检测出来。OilRig方面每次都会重新为该木马生成端点笱，因此安全人员很难对其进行修复、识别或者清除。

这一由伊朗支持的间谍活动最初于本周三通过一份措辞相当模糊的总理办公室新闻稿得到披露，其中声称以色列新近成立的网络防御局（Cyber Defense Authority）协助抵御了此轮攻击。

以色列安全企业ClearSky公司CEO勃亚兹-多尔夫（Boaz Dolev）在接受以色列报纸《Haaretz》采访时表示，“此轮攻击拥有相对良好的计划水平且耗费了相当多的资源。很明显，攻击之前相关执行者曾收集了针对性情报并精心挑选各以色列计算企业作为攻击目标。”

E安全注：本文系E安全官网独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考。