MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1137.001: Макрос в шаблоне

Злоумышленники могут использовать шаблоны Microsoft Office, чтобы закрепиться в скомпрометированной системе. Microsoft Office содержит шаблоны, которые входят в состав распространенных приложений Office и используются для настройки стилей. Базовые шаблоны приложения используются при каждом его запуске .

Макросы Office Visual Basic for Applications (VBA) могут быть вставлены в базовый шаблон и использованы для выполнения кода при запуске соответствующего приложения Office с целью закрепления в системе. Были обнаружены и опубликованы соответствующие примеры для Word и Excel. По умолчанию в Word создан шаблон Normal.dotm, который можно модифицировать, включив в него вредоносный макрос. В Excel нет файла шаблона, созданного по умолчанию, но его можно добавить, и он будет автоматически загружаться. Общие шаблоны также можно хранить на удаленных ресурсах и получать их оттуда.

Расположение шаблона Normal.dotm приложения Word:
C:\Users<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm

Расположение шаблона Personal.xlsb приложения Excel:
C:\Users<username>\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB

Злоумышленники также могут подменить базовый шаблон своим, эксплуатируя порядок поиска в приложении (например, Word 2016 сначала будет искать Normal.dotm в каталоге C:\Program Files (x86)\Microsoft Office\root\Office16\) или изменяя ключ реестра GlobalDotName. Изменив ключ реестра GlobalDotName, злоумышленник может указать произвольное местоположение, имя и расширение файла шаблона, который будет загружаться при запуске приложения. Чтобы использовать GlobalDotName, злоумышленникам сначала потребуется зарегистрировать шаблон как доверенный документ или разместить его в доверенном расположении.

Противнику может потребоваться снять ограничения на выполнение макросов в зависимости от политики безопасности системы или предприятия в отношении использования макросов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-262: Office_Template_Modification: Изменен стандартный шаблон документов. Приложения Microsoft Office содержат шаблоны, которые используются для настройки стилей. Базовые шаблоны используются при каждом запуске приложений

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may abuse Microsoft Office templates to obtain persistence on a compromised system.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Collect events related to Registry key modification for keys that could be used for Office-based persistence.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may abuse Microsoft Office templates to obtain persistence on a compromised system.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Collect events related to Registry key creation for keys that could be used for Office-based persistence.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files that may abuse Microsoft Office templates to obtain persistence on a compromised system. Modification to base templates, like Normal.dotm, should also be investigated since the base templates should likely not contain VBA macros. Changes to the Office macro security settings should also be investigated

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files that may abuse Microsoft Office templates to obtain persistence on a compromised system.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Office applications from creating child processes and from writing potentially malicious executable content to disk.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Follow Office macro security best practices suitable for your environment. Disable Office VBA macros from executing.

Disable Office add-ins. If they are required, follow best practices for securing them by requiring them to be signed and disabling user notification for allowing add-ins. For some add-ins types (WLL, VBA) additional mitigation is likely required as disabling add-ins in the Office Trust Center does not disable WLL nor does it prevent VBA code from executing.