1、到目前为止,VenusEye团队已经获得了多个利用该漏洞的攻击样本,并且样本数量在逐渐增加。
4、下载的template.doc实际是一个伪装成rtf文件的hta脚本文件。
6、整个漏洞触发流程可以用如下流程图概括。
9、脚本执行后,会执行如下操作: (1) 将当前窗口移到予磴颠靥桌面坐标为-2000,-2000的地方,让用户看不见该窗口。 (2傧韭茆鳟) 使用taskkill.exe终止winword.exe进程,以隐藏word对用户的提示。 (3) 下载http://212.xx.xxx.71/sage50.exe大马保存并执行。 (4) 最后为了避免用户怀疑,脚本还会下载一个正常的Office文档,并将其打开。
10、二、解决方案 1. 天阗APT产品可以对该0dayRTF文件进行报警。
12、天阗IDS已经添加相关事件,可以对RTF下载hta的过程进行检测,并可对下载的大马后门连接行为进行检测。
14、景云杀毒软件可对0dayRTF文件进行报警;
