Office 安全与防范

change2015

摘选片段来源自蓝点网：

微软公司目前已经发布警告称针对 Microsoft Office 的安全漏洞展开攻击的黑客在最近几个月已经持续增多。基于CVE-2017-0199、CVE-2017-8570、CVE-2017-8759及CVE-2017-11826等漏洞的攻击程序正在流传。

尽管该公司已经在四月份时发布了安全更新修复了部分漏洞， 但在修复前已经有自动化攻击程序流传在网上。这些安全漏洞并不是因为近期的例行更新导致的， 实际上多数漏洞都是零日漏洞已经存在了数年甚至十几年。因此很多安全漏洞在被微软和研究人员发现前就已经遭到利用， 与此同时网上也出现了多组自动化攻击程序。有了这些自动化攻击程序即使是脚本小子亦可以发起攻击， 而微软公司监测到的攻击趋势就是持续在升温中。

尽管有的漏洞在微软修复前已经遭到了利用， 但对于绝大多数用户而言还未被攻击因此也必须及时安装更新。

这些攻击的常用套路都是通过自动化程序发送钓鱼邮件， 在邮件中包含了内有特定代码的特制恶意文档文件。但国内通过 Q 群发恶意钓鱼文档的目前我们也遇到过，因此任何来历不明的文档用户都不应该主动下载打开。这些漏洞最危险的就是只要打开后恶意代码就会自动工作不需要用户确认， 因此钓鱼成功率看起来还挺高的。

趋势科技研究人员是在本月越南用户上传到在线扫描网站VirusTotal的可疑文档里发现名为qkG 的勒索软件。相对其他勒索软件而言qkG 则有些特别：完全以VBA宏功能而制作的勒索软件、只针对Office系列文档文件。

当用户开启含有恶意代码的钓鱼文档后只有在关闭文档后才可以继续感染，感染的方式则是锁定文档的内容。该勒索软件既不会修改被锁定文档的格式也不会修改其文件名，只有用户打开时才会发现里面内容全部乱码。

攻击者似乎正在改善软件的质量：

目前来看该勒索软件更像是个概念验证处于测试阶段，因为现在的版本即使成功加密文档但连BTC地址都没。因此即使用户想要支付赎金进行解锁也是没办法的，有意思的是qkG使用的加密方式为常见的XOR加密技术。所以这些被感染的文件加密密钥都是完全相同的，而且研究人员经过分析还在被加密的文档里找到加密密钥。

但是大约在两天后研究人员发现的新版里已经加入了BTC钱包地址， 说明攻击者正在积极的对软件质量改善。