SOC平台案例:泰合安管平台针对利用Microsoft Office公式编辑器漏洞的监测与响应
发布时间:2018-01-19   作者:启明星辰

1案例概述

 

近期,某企业单位部署的TSOC平台发现了利用“Office公式编辑器漏洞(CVE-2017-11882)”的攻击行为。此漏洞是一个潜伏了17年之久的漏洞,属于Office内存破坏漏洞,影响2017年11月前流行的所有Office版本,攻击者可以利用漏洞以当前用户身份执行任意命令(在2017年11月4日,微软发布的安全补丁包中已包括此漏洞的修复程序)。

 

泰合北斗服务团队接到通知后,第一时间通过安全管理平台进行响应处置,通过分析发现办公环境中某用户在不知情的情况下打开了一份恶意文档,导致触发Office公式编辑器漏洞(CVE-2017-11882),并连接远程恶意地址接收攻击指令。


2事件分析


2.1 事件追溯

 

2018年1月11日,在某企业单位部署的TSOC平台中发现有“L2_MC_office漏洞外链链接“的事件告警。
 


同时,该企业单位的内网环境中部署了TSOC-FC流采集器(TSOC-FC为泰合安全管理平台流采集探针,通过网络流量镜像或/和接收网络FLOW数据,对常见协议解析如HTTP/DNS/FTP/SMB等协议会话信息进行记录,并将信息上传给TSOC进行综合分析),对该告警事件进行追溯分析,发现流量日志中一个内网办公终端尝试访问“http://gamesarena.gdn”的日志记录。

 
2.2 事件分析

 

收集域名”http://gamesarena.gdn”的威胁情报,通过威胁情报查询到该域名和2017年11月份的”office公式编辑器”漏洞有关联。

 

 
将该事件的内网地址作为目的地址进行调查,查看近期外网对该内网地址的其他连接事件,其中发现了“POP3_可执行的邮件附件传递“事件,附件名称为“2017.doc”。
 


对所有的事件进行关联分析,将整个攻击流程描绘出来如下:

 

 

 

攻击者通过邮件的形式发送带有恶意附件的邮件给受害者,当受害者打开附件并启用编辑后,受害者的主机会对连接文档中的恶意地址,去获取攻击指令,但由于http://gamesarena.gdn目前已经无法访问,受害者主机无法获取进一步的指令。

 

2.3 事件响应

 

针对该事件分析处置,泰合北斗服务团队依托泰合安全管理平台建立了监测规则,用于对该攻击行为进行实时监控和告警,规则如下:
 


针对本次案例中的问题,北斗团队建议用户采取如下措施:

 

1)建议安装2017年11月份微软发布的补丁(KB2553204、KB3162047、KB4011276和KB4011262),用于修复CVE-2017-11882漏洞。

2)打开系统自动更新,及时更新微软官方的最新补丁。

3)对受害主机进行全面查杀。


3结束语

 

根据泰合北斗服务团队多年从事安全管理平台的运维经验,想要充分发挥安管平台的价值,体现平台在安全事件分析方面的效果,通常需要从项目建设与运维管理制度、安全管理组织、安全人员技术水平等几方面共同努力。其中安全技术人员需要了解最新的安全动态,及时调整安全防护策略和检测规则。运维安全管理平台,通常需要安全技术人员进行如下工作:

 

1、 覆盖业务范围的全量日志收集;
2、 日志的过滤与降噪;
3、 日志标准化与精细化梳理;
4、 结合业务进行关键信息补全;
5、 根据攻击场景和攻击特征建立关联分析模型;
6、 在关联分析过程中引用外部威胁情报;


4关于启明星辰泰合TSOC安全管理平台

 

启明星辰作为中国信息安全行业的领航企业,拥有完整的信息安全技术、产品、解决方案和服务能力,已经成为政府、电信、金融、能源、交通、制造等领域内国内高端客户青睐的品牌。

 

启明星辰专门成立了泰合产品本部负责大数据安全分析领域及泰合系列安全管理类、审计类和流安全分析类系统的研发、咨询、项目实施与运维。泰合产品本部分别在北京、上海、杭州、广州等地设有研发中心。

 

◆ 2017年,启明星辰的泰合安管平台成为首个进入Gartner SIEM魔力象限的中国安管平台产品。

◆ 根据赛迪报告,从2008年至今,启明星辰的泰合安管平台已经连续9年位居中国市场占有率第一名。

◆ 根据IDC的报告,从2015年至今,启明星辰的泰合安管平台已经连续2年位居中国市场占有率第一名。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号