SOC平臺案例:泰合安管平臺針對利用MicrosoftOffice公式編輯器漏洞的監測與響應

發布時間 2018-05-31

1.案例概述
 
近期,某企業單位部署的TSOC平臺發現了利用“Office公式編輯器漏洞(CVE-2017-11882)”的攻擊行為。此漏洞是一個潛伏了17年之久的漏洞,屬于Office內存破壞漏洞,影響2017年11月前流行的所有Office版本,攻擊者可以利用漏洞以當前用戶身份執行任意命令(在2017年11月4日,微軟發布的安全補丁包中已包括此漏洞的修復程序)。
 
泰合北斗服務團隊接到通知后,第一時間通過安全管理平臺進行響應處置,通過分析發現辦公環境中某用戶在不知情的情況下打開了一份惡意文檔,導致觸發Office公式編輯器漏洞(CVE-2017-11882),并連接遠程惡意地址接收攻擊指令。

 

2.事件分析

 

2.1事件追溯
 
2018年1月11日,在某企業單位部署的TSOC平臺中發現有“L2_MC_office漏洞外鏈鏈接“的事件告警。
 


同時,該企業單位的內網環境中部署了TSOC-FC流采集器(TSOC-FC為泰合安全管理平臺流采集探針,通過網絡流量鏡像或/和接收網絡FLOW數據,對常見協議解析如HTTP/DNS/FTP/SMB等協議會話信息進行記錄,并將信息上傳給TSOC進行綜合分析),對該告警事件進行追溯分析,發現流量日志中一個內網辦公終端嘗試訪問“http://gamesarena.gdn”的日志記錄。

 

 


2.2事件分析
 
收集域名”http://gamesarena.gdn”的威脅情報,通過威脅情報查詢到該域名和2017年11月份的”office公式編輯器”漏洞有關聯。
 

 


將該事件的內網地址作為目的地址進行調查,查看近期外網對該內網地址的其他連接事件,其中發現了“POP3_可執行的郵件附件傳遞“事件,附件名稱為“2017.doc”。
 


對所有的事件進行關聯分析,將整個攻擊流程描繪出來如下:
 

 


攻擊者通過郵件的形式發送帶有惡意附件的郵件給受害者,當受害者打開附件并啟用編輯后,受害者的主機會對連接文檔中的惡意地址,去獲取攻擊指令,但由于http://gamesarena.gdn目前已經無法訪問,受害者主機無法獲取進一步的指令。
 
2.3事件響應
 
針對該事件分析處置,泰合北斗服務團隊依托泰合安全管理平臺建立了監測規則,用于對該攻擊行為進行實時監控和告警,規則如下:
 


針對本次案例中的問題,北斗團隊建議用戶采取如下措施:
 
1)建議安裝2017年11月份微軟發布的補丁(KB2553204、KB3162047、KB4011276和KB4011262),用于修復CVE-2017-11882漏洞。
2)打開系統自動更新,及時更新微軟官方的最新補丁。
3)對受害主機進行全面查殺。

 

3.結束語
 
根據泰合北斗服務團隊多年從事安全管理平臺的運維經驗,想要充分發揮安管平臺的價值,體現平臺在安全事件分析方面的效果,通常需要從項目建設與運維管理制度、安全管理組織、安全人員技術水平等幾方面共同努力。其中安全技術人員需要了解最新的安全動態,及時調整安全防護策略和檢測規則。運維安全管理平臺,通常需要安全技術人員進行如下工作:
 
1、覆蓋業務范圍的全量日志收集;
2、日志的過濾與降噪;
3、日志標準化與精細化梳理;
4、結合業務進行關鍵信息補全;
5、根據攻擊場景和攻擊特征建立關聯分析模型;
6、在關聯分析過程中引用外部威脅情報;

 

4.關于啟明星辰泰合TSOC安全管理平臺
 
啟明星辰作為中國信息安全行業的領航企業,擁有完整的信息安全技術、產品、解決方案和服務能力,已經成為政府、電信、金融、能源、交通、制造等領域內國內高端客戶青睞的品牌。
 
啟明星辰專門成立了泰合產品本部負責大數據安全分析領域及泰合系列安全管理類、審計類和流安全分析類系統的研發、咨詢、項目實施與運維。泰合產品本部分別在北京、上海、杭州、廣州等地設有研發中心。
 
◆2017年,啟明星辰的泰合安管平臺成為首個進入GartnerSIEM魔力象限的中國安管平臺產品。
◆根據賽迪報告,從2008年至今,啟明星辰的泰合安管平臺已經連續9年位居中國市場占有率第一名。
◆根據IDC的報告,從2015年至今,啟明星辰的泰合安管平臺已經連續2年位居中國市場占有率第一名。