T1137: Запуск приложения Office
Злоумышленники могут использовать приложения Microsoft Office для закрепления в системе между запусками. Microsoft Office — популярный пакет приложений для операционных систем на базе Windows, используемый в корпоративных сетях. Существует множество механизмов для закрепления в системе при запуске приложения Office, включая использование шаблонов Office с макросами и надстроек.
В Outlook было обнаружено множество функций, которые можно эксплуатировать для закрепления в системе, — например, правила Outlook, формы и домашние страницы. Эти механизмы закрепления могут работать только в Outlook или во всей среде Microsoft 365.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками домашней страницы Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых может использоваться домашняя страница Microsoft Outlook для закрепления злоумышленников в скомпрометированной системе. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Проводите аудит записей реестра, связанных с включением надстроек. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе через домашнюю страницу Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Проводите аудит записей реестра, связанных с включением надстроек. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Следуйте передовым методам обеспечения безопасности макросов Office, подходящим для вашей среды. Отключите выполнение макросов Office VBA. Отключите надстройки Office. Если они необходимы, следуйте передовым методам их защиты, требуя подписывать их и отключая уведомления пользователей о разрешении надстроек. Для некоторых типов надстроек (WLL, VBA), вероятно, потребуется дополнительная защита, поскольку отключение надстроек в Office Trust Center не отключает WLL и не предотвращает выполнение кода VBA . |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск . |
---|
ID | M1051 | Название | Обновление ПО | Описание | Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Для метода Office Test создайте раздел реестра, используемый для его выполнения, и установите разрешения "Контроль чтения", чтобы предотвратить легкий доступ к разделу без прав администратора или требующий повышения привилегий . |
---|