网站内容安全防护技术浅析(Office文档为何如此受攻击者的青睐？（附案例分析）)

　　网站内容安全防护技术浅析(Office文档为何如此受攻击者的青睐？（附案例分析）)

　　分析近年来的高级持续威胁（APT）攻击，可以看出恶意Office文档（Word、Excel、PPT）已成为*敏*感*词*分子最常使用的攻击诱饵。Office是人们电脑上最常用的办公软件。恶意Office文档攻击不仅给个人和企业带来巨大风险，也严重威胁国家安全。攻击者成功攻击计算机后，一般会以计算机为跳板横向移动，攻击网络中的其他计算机或设施，窃取机密数据，或破坏重要基础设施。

　　为什么 Office 文档如此受攻击者欢迎

　　Office文档攻击按时间顺序可分为“萌芽期”、“沉寂期”、“高速发展期”、“鼎盛期”4个阶段。

　　那么，为什么 Office 文档如此受攻击者欢迎呢？笔者根据内外部原因做了一个总结。

　　外部原因：

　　内部原因：

　　恶意Office文档攻击的“N个手势”

　　按攻击方式：分为“水坑攻击”和“鱼叉攻击”

　　按传输方式：分为主动传输和被动传输

　　根据攻击对象：分为嵌入式恶意代码攻击（基于宏和DDE攻击）、漏洞利用（0天和N天）攻击、嵌入式OLE对象攻击、嵌入式恶意文件攻击。

　　恶意Office文档检测方法概述

　　所谓恶意Office文档，是指以通过嵌入和执行恶意代码或利用其结构特征窃取敏感信息、监控和扰乱用户正常活动为目的的Office文档。

　　恶意Office文档检测是对Office文档的结构和内容进行分析，判断其是否恶意并进行进一步处理，以防止用户使用恶意Office文档造成敏感信息泄露等安全风险。

　　目前，大部分杀毒软件都具有对Office文档进行查杀的功能，但主要的检测方式仍然是基于标签和严格启发式规则的传统方法。Office文档检测框架如下图所示。其核心在于特征提取和文档分析。

　　特征提取是指根据不同类型恶意文档的识别方法和实际情况，提取可作为判断恶意依据的信息。

　　文档特征大致可以分为静态特征和动态特征。

　　根据提取特征的类型不同，检测方法可分为静态检测方法、动态检测方法和动静结合检测方法。

　　目前识别恶意Office文档的方法主要有基于统计分析的方法、基于启发式规则的方法和基于机器学习的方法。目前使用最广泛的方法是机器学习。

　　基于机器学习的识别方法一般包括两个部分：学习过程和测试过程。

　　安全建议

　　综上所述，越来越多的攻击者更倾向于使用恶意文档进行恶意操作，这比传统的恶意程序更容易混淆。如果攻击者采用“水坑攻击”或“鱼叉攻击”等手段，结合社会工程手段，精心构造文档名称、伪装内容，很容易中招许多安全意识薄弱的用户。在这里，笔者为大家总结了一些安全建议：

　　在打开文档之前：

　　打开文档后

　　参考

　　[1] 360 威胁情报中心。盘点2018年全球十大APT攻击[EB/OL]。[2019-01-02]。

　　[2] 腾讯电脑管家。腾讯安全 2018 高级持续威胁 (APT) 研究报告。[EB/OL]。

　　[2019-01-03]。

　　[3] 腾讯电脑安全管家。2017 Office 漏洞和漏洞攻击研究报告 [EB/OL]。

　　[2017-11-15]。

　　[4] Etienne Stalmans, Saif El-Sherei。MSWord 中的无宏代码执行。[EB/OL]。[2017-10-09]。

　　[5] 林阳东，杜雪辉，孙毅。恶意PDF文档检测技术研究进展[J]. 计算机应用研究, 2018 (8): 4.