【科普】普通用户在日常中网络安全意识

KK院长

   作为普通用户的我在越来越不安全的网络世界应该注意什么？挖矿木马，勒索软件，恶意代码，从原来的PE文件结构过度到恶意脚本结构，通俗来讲就是从原来的EXE安装包过度到毒Excel ，当你打开Excel你就死定了，你会说我会用某杀毒软件先扫描一下，真的有用吗？病毒属于Office版本软件0day漏洞CVE-2017-11882这样的东东，打开即中毒。或含有 Office宏里的反弹Shell你顶的住吗？

我知道你会用杀毒软件或VT的，呵呵。

第3方软件漏洞举例， Adobe官方发布了Adobe Flash Player漏洞

Adobe官方新的Flash 32.0.0.101版本防漏洞，漏洞分配编号CVE-2018-15982已经出现。

例如：攻击者首先通过即时聊天工具或者邮箱向被攻击者发送一个诱饵文档，这个文档里面包含恶意代码，并且诱骗被攻击者打开中招。

被攻击者打开诱饵文档后，就会自动播放一个flash，这个flash一播放，就会执行一些你不知道的操作…….或你直接访问有毒的网。

事件记录： Gigamon Applied Threat Research（ATR）根据Microsoft Office文档，确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞（CVE-2018-15982）允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码，从而获取对系统命令行的访问权限。该文件是从一个位于乌克兰的IP地址提交到VirusTotal的，恶意文档伪装成提交给俄罗斯国家医疗诊所的求职申请。Gigamon ATR在2018年11月29日（星期四）的上午2点向Adobe产品安全事件响应小组（PSIRT）报告了这一漏洞。Adobe迅速采取了措施，并与Gigamon ATR合作复现这一漏洞，在2018年12月5日发布了针对该漏洞的安全补丁，并为该漏洞分配编号CVE-2018-15982。

https://www.anquanke.com/post/id/167411  转载来自

2018年上半年的网络安全攻击无文件型、小文件型和基于宏的恶意软件数量都出现了明显的增长。在目前的网络威胁领域中，勒索软件仍然扮演着十分重要的角色。

病毒的超级进步，具备了反机器学习的能力，并且合法签名，逃避沙箱，新型勒索软件PyLocky。

一个通过垃圾邮件来传播PyLocky勒索软件的攻击活动。

docx毒文档

其他无文件攻击介绍，指攻击代码的下载和执行过程均在内存实现，并不在系统创建攻击文件，可以有效逃避安全软件的行为拦截，是近来极为流行的攻击方式。如用PowerShell下载执行木马。

问题来了？ 我们怎么样风控被感染的机会，预防中毒呢？安全意识很重要，用超级管理员打开文件你会不中毒？不装防火墙你也知道某软件或访问网络？Google Chrome插件也有问题就你不知道。不懂可以学习的，来自网络恶意的软件的控制任重道远。

防范：第三方office，Adobe软件等同样存在宏问题和本身软件0day漏洞等，宏可以关闭，0day漏洞要么hips防范缓解，要么缓冲区漏洞保护，微软office软件漏洞现在可以通过打补丁修补，hips可以用毛豆，SSF,HMPA,OSArmor 补刀。无文件攻击防范暂时禁止 powershell和WMI服务 同时未知入沙即可

柯林

支持院长，好东东，好话题。
希望出现更多理性探讨，譬如原理、实例、防范措施，不要“草木皆兵”
譬如：“docx毒文档的，打开就挂，并且合法签名EXE，杀毒软件免杀。”之类，太吓人了，吓死宝宝了
宏病毒，以麦咖啡VSE为例，应该不难防范，比如加两条规则：
拦截Excel宏病毒【防毒】：禁止创建、修改、执行*\AppData\Roaming\Microsoft\Excel\XLSTART\**
拦截word宏病毒【防毒】：禁止创建、修改、执行*\AppData\Roaming\Microsoft\Word\STARTUP\**


powershell脚本那个没见到具体实例，不大清楚，希望有实例的人说下防御措施

BE_HC

以下为个人观点----
我自认为对于某些存在风险的应用程序自动入沙也是不错的

关于题主说的“沙箱逃逸”（逃避沙箱）也就是在沙箱内不能运行执行真正的恶意部分，这足以筛选掉不会穿沙的病毒
对于可能穿沙的，大都是权限相当高，一般要加驱实现，但win10自带的内核隔离大都可以防止此类驱动的加载
别的就是沙箱自身的问题惹
对于宏病毒来说，这是难以穿沙的
以一下这个宏病毒为例

https://bbs.kafan.cn/thread-2133395-1-1.html

已打开就可以看到有疑似自动宏的生成，但Office默认禁用宏，所以我点了启动

运行之后也就是报错，可以看到PowerShell的运行，但都是在沙箱内，这可以确认沙箱防住了此次的攻击
HMPA也存在伪装成沙箱的功能（虽然没见过具体弹窗

tg123321

office默认禁用宏吧

柯林

看了一些，头大，不得要领：
https://www.freebuf.com/articles/system/176267.html
http://www.cnblogs.com/17bdw/p/8709139.html
https://www.freebuf.com/articles/database/101267.html
https://slab.qq.com/news/tech/1650.html

貌似powershell也并不是真的无文件，至少，禁运%Temp%则大多数威胁歇菜了

谁有彻底绕过杀软与主防之类的shell啥的样本，放上样本区让测试党们玩玩，看具体结果；没样本的讨论还是太空泛了，没有实据性

KK院长

tg123321 发表于 2018-11-25 14:33
office默认禁用宏吧

通过微软的Office文档传播的病毒，用户应该确保宏不默认启用，对于Office漏洞攻击仍然会不断持续，本身就有漏洞，微软在2017年一共发布了372个Office漏洞补丁，像   CVE-2017-0199 有几个人会修补？
Office漏洞常常用于APT攻击，对于高价值目标，甚至会使用未公开的Office 0Day漏洞。

帝辛

BD的ATD有文档漏洞防护了。就是误杀大。
另外没有这么容易的。较新版office已经禁止了。我觉得目前杀毒大多不管的原因就是因为已经默认禁止的原因。
一般有什么新路子。杀毒总会跟进的。就跟勒索病毒一样。端口传播。一部分之后所有杀毒开始防杀。
老是小心翼翼就失去了玩电脑的意义了。

tg123321

KK院长 发表于 2018-11-25 17:03
通过微软的Office文档传播的病毒，用户应该确保宏不默认启用，对于Office漏洞攻击仍然会不断持续，本身就 ...

win10不是强制更新修复漏洞嘛......高价值目标应该也是针对大企业和国家啊

浅美

多谢提示风险，不过用第三方office软件（如wps、极速office等）是不是也可以同样方式防范？

KK院长

浅美 发表于 2018-11-25 23:46
多谢提示风险，不过用第三方office软件（如wps、极速office等）是不是也可以同样方式防范？

第三方office软件同样存在宏问题和本身软件0day漏洞，宏可以关闭，0day漏洞要么hips防范，要么缓冲区漏洞保护。