文档型漏洞攻击研究报告

文档型漏洞攻击研究报告2017年7月3日摘要?本文研究的漏洞文档是指利用漏洞进行网络攻击的恶意文档，且此报告中统计的数据是2017年一月到六月的漏洞文档。?通过对360互联网安全中心截获的漏洞文档抽样分析统计显示，攻击者最喜欢利用的载体为Office文档，占比高达52.3%，其次为RTF（RichTextFormat）文档占比达到了31.5%。?漏洞文档直接下载恶意程序是攻击者使用的主要方式，占据68.5%，直接释放恶意程序比例达到了24.1%。?在含有伪装内容的文档中，跟经济相关的文档占据比例最大，达到了15.7%，其次为教育科研机构，占比达到9.6%。?抽样统计显示，2017上半年中CVE-2017-0199漏洞被利用的次数最多，相关的漏洞文档占比高达35.5%，其次是CVE-2012-0158占据17.5%。?在2017上半年被利用的主要漏洞中，变化最为明显的是CVE-2017-0199，该漏洞在2017年前三个月未被公开，其占比为0，但是被公开后其占比一路走高，在四月份集中爆发，占比超过了所统计漏洞文档的60%。?通过统计漏洞文档载荷下载或释放的恶意程序功能，发现远控木马和信息盗取木马依然是主流，分别达到了36.6%和29.3%。?统计的恶意程序中，EXE和DLL文件依然占据主导地位，分别占70%和16%。?恶意程序开发语言中C/C++占比最高，达47.8%，其次为C#语言，占31.1%。?漏洞文档载荷下载或释放的恶意程序中，攻击者最喜欢使用的程序名为svchost.exe，占比高达48.3%，其次为winlogin.exe占13.7%。?通过统计漏洞文档载荷直接访问或通过域名解析访问的两类C&C服务器，发现恶意程序作者所使用的C&C服务器地理位置主要集中在美国、俄罗斯以及德国，占比分别为43.9%、15.2%和7.0%。?通过统计载荷直接使用域名访问C&C服务器的漏洞文档，发现攻击者更喜欢.com的顶级域名作为C