在成功入侵用戶電腦之后，該漏洞就會從上述位置中下載可執(zhí)行文件，并將其保存在以下目錄中：C:Documents and SettingsLocal SettingsTempwinword.exe。目前，Websense安全專家們檢測到的木馬文件下載地址分別是：hxxp://myflatnet.com/bruce_2/winword.exe、hxxp://myflatnet.com/new_red/winword.exe以及hxxp://myflatnet.com/ralph_3/winword.exe。

下載的Winword.exe文件實際上是一個包含可執(zhí)行文件和虛假Word文檔的RAR自解壓文件。在運行之后，Winword.exe就會將另一個可執(zhí)行文件(Updates.exe)解壓到C:Documents and SettingsUpdates.exe，然后執(zhí)行。Updates.exe是一個后門程序，它可以讓攻擊者成功控制受害者的電腦。

此外，包含在Winword.exe壓縮文件中的虛假文檔也會保存在同一個文件夾下。在對虛假文件內(nèi)容的檢測過程中，Websense安全專家發(fā)現(xiàn)，此次攻擊貌似是針對巴基斯坦發(fā)起的，但是卻在已發(fā)送的電子郵件收件人列表中出現(xiàn)了阿聯(lián)酋、印度以及其他南亞國家金融、制造、軟件和旅游等行業(yè)的用戶。而且，發(fā)件人網(wǎng)域主要來自印度和阿聯(lián)酋(但這些也極有可能是經(jīng)過偽造的)。

惡意軟件域名注冊信息

托管“winword.exe”可執(zhí)行文件的域名myflatnet.com于2013年5月28日注冊，并在次日進行了更新，該域名的名稱服務(wù)器是NS1.MYFLATNET.COM和NS2.MYFLATNET.COM，注冊地點在烏克蘭的利沃夫，注冊人郵箱為arlenlloyd@outlook.com。

兩起利用相同漏洞發(fā)起的攻擊活動

2013年10月28日，Websense監(jiān)測到一起惡意電子郵件攻擊活動，攻擊使用的電子郵件中包含兩個附件，同時利用了微軟Word Docx附件中的CVE-2013-3906漏洞以及更為常見的Doc附件中的CVE-2013-0158漏洞。

如下圖所示，電子郵件主題為“SWIFT $142,000 $89,000”。Websense ThreatSeeker網(wǎng)絡(luò)已成功檢測出數(shù)百個發(fā)送至阿聯(lián)酋某一金融企業(yè)的惡意郵件，這些郵件來自羅馬尼亞，原始IP地址為83.103.197.180。

郵件中名為“$142,000.docx”的附件利用了CVE-2013-3906漏洞。這個文件中使用到的惡意代碼與先前的例子中所使用的并不相同，而是利用了帶有相似熵值A(chǔ)ctiveX組件。郵件中另一個附件是“$89,000.doc”，此附件中則利用了更早一些的CVE-2012-0158漏洞，此漏洞可以鏈接至hxxp://switchmaster.co.in/simples/disk.exe中。

Websense安全防護

Websense的用戶可以得到高級分類引擎(ACE™)以及Websense ThreatScope™的充分保護。Websense的監(jiān)測數(shù)據(jù)顯示，使用此漏洞發(fā)起的攻擊數(shù)量非常有限，但是ACE仍然可以在攻擊鏈的多個步驟中保護用戶安全，詳情如下：

第四階段(漏洞利用工具包)—ACE可以檢測惡意DOC文件以及相關(guān)的惡意URL。

第五階段(木馬文件)—ACE可以檢測該漏洞攜帶的自解壓RAR文件。ThreatScope的行為分析引擎則將其行為歸類為可疑行為。

ACE還可以檢測壓縮在RAR文件中的后門可執(zhí)行文件，ThreatScope將其歸類為可疑文件。

Websense專家建議

Websense安全專家提醒所有使用易受攻擊Office版本的用戶，當收到帶有附件的電子郵件時，除了在打開附件之前保持高度警惕，還可以在新的可用更新發(fā)布之前安裝微軟Fix it 51004來緩解此漏洞帶來的安全問題，提高安全防御等級。此外，由于該漏洞的攻擊范圍較大，Websense安全專家預(yù)測在未來數(shù)月內(nèi)仍將有許多攻擊人員利用此漏洞發(fā)起針對性和大規(guī)模攻擊。但幸運的是，此漏洞攻擊利用的是微軟Office文檔，因此不會很快整合進Neutrino、Styx和Magnitude等基于Web的漏洞利用工具包中。在未來，Websense仍將繼續(xù)監(jiān)測此漏洞的動態(tài)，包括在未來的攻擊中的使用情況。

wangxueyang