检测方法

　　启明星辰自主研发的天阗APT产品可完全检测出该样本。

　　首先对带有漏洞的pps文件进行检测，检测结果如下：

▲

　　该系统可对样本进行多环境检测，在XP环境中，我们未检测到攻击行为发生，在Windows 7的Office 2007环境下则检测出了漏洞攻击行为并报警。

　　当漏洞利用检测系统检测到文档文件有问题后，该检测系统会自动将生成的可疑PE文件送入可疑行为分析系统内进行检测，检测结果如下。如图，该系统可以成功检测到slide1.gif的恶意行为并报警，另外该系统也能对样本发起的可疑C&C连接进行检测并报警。

▲

▲

　　防御方法

　　安装微软本月发布的最新补丁MS14-060。https://technet.microsoft.com/library/security/MS14-060

　　天阗APT产品通过与天清NGIPS产品的联动，实现了对此类利用沙虫漏洞进行攻击的有效防护。当检测到样本的恶意行为及后续可疑C&C连接行为后，天阗APT产品可自动提取相关恶意行为的传播特征及后续的连接行为特征，并将特征下发到其联动的NGIPS产品当中，同时自动生成防护策略，有效阻断此次利用沙虫漏洞进行的后续攻击行为以及后续可能发生的同类攻击。

　　天阗APT产品通过与现有天阗IDS、天清NGIPS、网闸等安全产品的联动，为客户构建了最为快捷有效抵御已知+未知攻击的多层次立体化的检测与防护体系，让攻击无所遁形。