MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1137: Запуск приложения Office

Злоумышленники могут использовать приложения Microsoft Office для закрепления в системе между запусками. Microsoft Office — популярный пакет приложений для операционных систем на базе Windows, используемый в корпоративных сетях. Существует множество механизмов для закрепления в системе при запуске приложения Office, включая использование шаблонов Office с макросами и надстроек.

В Outlook было обнаружено множество функций, которые можно эксплуатировать для закрепления в системе, — например, правила Outlook, формы и домашние страницы. Эти механизмы закрепления могут работать только в Outlook или во всей среде Microsoft 365.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками домашней страницы Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, в которых может использоваться домашняя страница Microsoft Outlook для закрепления злоумышленников в скомпрометированной системе.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Проводите аудит записей реестра, связанных с включением надстроек.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе через домашнюю страницу Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Проводите аудит записей реестра, связанных с включением надстроек.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Следуйте передовым методам обеспечения безопасности макросов Office, подходящим для вашей среды. Отключите выполнение макросов Office VBA.

Отключите надстройки Office. Если они необходимы, следуйте передовым методам их защиты, требуя подписывать их и отключая уведомления пользователей о разрешении надстроек. Для некоторых типов надстроек (WLL, VBA), вероятно, потребуется дополнительная защита, поскольку отключение надстроек в Office Trust Center не отключает WLL и не предотвращает выполнение кода VBA .

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .

IDM1051НазваниеОбновление ПООписание

Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.

IDM1054НазваниеИзменение конфигурации ПООписание

Для метода Office Test создайте раздел реестра, используемый для его выполнения, и установите разрешения "Контроль чтения", чтобы предотвратить легкий доступ к разделу без прав администратора или требующий повышения привилегий .