体为Office文档，占比高达52.3%，其次为 RTF（Rich Text Format）文档占比达到了
31.5%

比例达到了24.1%

育科研机构，占比达到9.6%

档占比高达35.5%，其次是CVE-2012-0158占据17.5%

年前三个月未被公开，其占比为0，但是被公开后其占比一路走高，在四月份集中爆发，
占比超过了所统计漏洞文档的60%

是主流，分别达到了36.6%和29.3%

比高达48.3%，其次为winlogin.exe占13.7%

序作者所使用的C&C服务器地理位置主要集中在美国、俄罗斯以及德国，占比分别为
43.9%、15.2%和7.0%

级域名作为C&C服务器，其占比高达61.1%，尼日利亚国家的顶级域名.ng，占比为10.4%

443、80与8080端口，占比分别为32.8%、25.4%和18.3%

关键词： 漏洞文档、载荷、恶意程序、变化趋势、C&C服务器、顶级域名、端口
目录
研究背景 ....... 1
第一章 漏洞文档综述 ..... 2
一、 漏洞文档类型分析2
二、 漏洞文档载荷类型分析 ..... 2
三、 漏洞文档涉及领域分析 ..... 3
四、 被利用的漏洞统计分析 ..... 4
五、 被利用的漏洞变化趋势分析 ......... 5
第二章 漏洞文档载荷综述 .......... 7
一、 载荷功能分析 ........ 7
二、 载荷文件类型分析7
三、 载荷编译器类型分析 ........ 8
四、 载荷文件名分析 .... 9
五、 载荷C&C服务器地域分析......... 10
六、 载荷C&C服务器顶级域名分析 . 10
七、 载荷C&C服务器端口分析......... 11
第三章 典型漏洞文档案例分析 . 12
一、 经久不衰之CVE-2012-0158 ....... 12
二、 稳如泰山之CVE-2015-1641 ....... 13
三、 不拘小节之CVE-2015-2545 ....... 14
四、 后起之秀之CVE-2017-0199 ....... 16
第四章 结尾 ...... 18研究背景
由于反病毒技术快速发展及免费安全软件在全球的高度普及，恶意程序的传播变得越来
越困难。自2013年以来，中国一直是全球个人电脑恶意程序感染率最低的国家

但是随着漏洞挖掘及利用技术越来越公开化，导致越来越多的黑客更加倾向于利用常见
办公软件的文档漏洞进行恶意攻击，特别是在一些APT（Advanced Persistent Threat）攻击
中，更是体现得淋漓尽致。针对特定目标投递含有恶意代码的文档，安全意识薄弱的用户只
要打开文档就会中招

对于漏洞文档（本文所说的漏洞文档是指利用漏洞进行网络攻击的恶意文档），为何用
户容易中招呢？2017年6月，360互联网安全中心的安全专家们对这一问题展开了深入的研
究。总结了两部分原因，一、漏洞文档普遍采用了社会工程学的伪装方法，攻击者会进行精
心构造文档名，结合鱼叉或水坑等攻击方式进行传播，并配有诱饵内容，极具欺骗性，导致
很多用户中招；二、部分用户安全意识只停留在可执行的恶意程序上，对漏洞文档危害的防
范意识较弱

鉴于此种情况，360安全专家对2017上半年PC平台上漏洞文档进行深入的抽样分析研
究，形成此报告，希望能够借此帮助更多的用户提高安全意识，对漏洞文档有个直观感受，
有效防范此类恶意攻击。第一章 漏洞文档综述
一、 漏洞文档类型分析
通过对360互联网安全中心截获的漏洞文档抽样分析统计显示，攻击者最喜欢利用的载
体为Office文档，占比高达52.3%。由于Office文档类型众多，包括doc、docx、xls、xlsx、
ppt、pptx等类型，攻击者选择的载体类型较多，并且Office用户群体庞大，因此此类漏洞
文档占比最高。其中在Office系列中Word文档类型尤为突出，占据了Office文档的81.6%，
其次是PowerPoint文档，占据了近10%

除了Office文档之外，攻击者也喜欢利用RTF（Rich Text Format）文档作为载体进行
攻击，其占比也达到了31.5%。很多Office漏洞需要成功运行恶意程序，会嵌入一些OLE
对象进行堆喷射或用于绕过ASLR（Address Space Layout Randomization）安全机制，而Rich
Text Format文档很容易嵌入OLE对象，并且默认情况下RTF类型的文件系统会调用Word
程序来解析，因此很多攻击者会使用RTF文档来制作漏洞利用样本，以便更好的触发漏洞
运行恶意代码

此外，PDF文档也在文档漏洞类型中占据16.2%，该类文档中通常包含一些恶意的
JavaScript脚本，这些脚本会连接云端下载恶意程序

另外，研究过程中，我们观察到大量包含了漏洞文档的电子邮件，这是由于攻击者经常
会通过电子邮件来进行传播，并且会精心构造邮件内容，以便诱导用户点击，提高中招比例

在此提醒用户，请不要轻易打开陌生人发来的文档，该文档很可能携带恶意载荷，导致自己
蒙受损失

二、 漏洞文档载荷类型分析
这些经过攻击者精心伪装的漏洞文档一旦运行后，是怎么样运行恶意程序或代码呢？
抽样统计显示，漏洞文档直接下载恶意程序是攻击者使用的主要方式，占据68.5%，该
方式是指攻击者在精心构造的样本中嵌入恶意链接，用户打开文档中招后就会连接远端下载
。。。以上简介无排版格式，详细内容请下载查看