龙源期刊网 https://www.doczj.com/doc/7912610128.html,
基于Cobalt Strike 和Office漏洞的入侵者反制研究
作者:刘晨李春强丘国伟
来源:《网络空间安全》2018年第01期
摘要:当今时代,虚拟的计算机网络空间已被视为一个主权国家极其重要的“第五空间”。网络安全的问题也与人们的生活更加密切。然而,传统的安全防御机制始终处于被动式的防御机制,不能对入侵者进行及时地制裁。通过入侵者反制研究,可以将被动式的防御变为主动的防御,更大限度地保障网络安全,并为攻击过后的溯源调查增加更多的依据。
关键词:网络安全;主动防御;计算机网络
中图分类号:TP393.08 文献标识码:B
Research on intruder intrusion based on cobalt strike and office vulnerabilities
Abstract: At present, cyberspace has been regarded as the "fifth space" after land, sea, air and sky". People also pay more and more attention to the problem of network security. However, the traditional security defense mechanism is always in the passive defense mechanism, and can not punish the intruder in time. Through the research of intruder, we can change the passive defense into active defense, and guarantee the network security to a greater extent. And add more evidence to the investigation after the attack.
Key words: network security; active defense; compute network
1 引言
众所周知,微软公司的Microsoft Office产品无论在国内还是国外都占有很大的市场量。
而其软件的安全问题也引起了国内外安全组织或者黑客的关注。黑客们也从利用Microsoft Office的宏病毒进行入侵,变成了利用针对不同文档格式的解析漏洞进行入侵。
Office软件均采用了具有复杂数据结构的OLE2的复合文档类型。复杂的数据结构往往导致软件容易出行漏洞,近年来Office漏洞也在持续地暴露出来,并且在诸多已经发生的APT
的案例中,有不计其数的入侵者利用Office漏洞来进行鱼叉式钓鱼攻击或其他社会工程学渗透。
通过分析近几年来的安全事件,不难发现利用Microsoft Office产品的漏洞来进行钓鱼攻
击甚至APT攻击的,更是在网络攻击中占了很大的比重。其中,著名的APT事件中有利用word类型混淆漏洞的“丰收行动”事件、福岛核电站APT事件等,都利用了Office漏洞。可