T1137.001: Макрос в шаблоне
Злоумышленники могут использовать шаблоны Microsoft Office, чтобы закрепиться в скомпрометированной системе. Microsoft Office содержит шаблоны, которые входят в состав распространенных приложений Office и используются для настройки стилей. Базовые шаблоны приложения используются при каждом его запуске .
Макросы Office Visual Basic for Applications (VBA) могут быть вставлены в базовый шаблон и использованы для выполнения кода при запуске соответствующего приложения Office с целью закрепления в системе. Были обнаружены и опубликованы соответствующие примеры для Word и Excel. По умолчанию в Word создан шаблон Normal.dotm, который можно модифицировать, включив в него вредоносный макрос. В Excel нет файла шаблона, созданного по умолчанию, но его можно добавить, и он будет автоматически загружаться. Общие шаблоны также можно хранить на удаленных ресурсах и получать их оттуда.
Расположение шаблона Normal.dotm приложения Word:
C:\Users<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm
Расположение шаблона Personal.xlsb приложения Excel:
C:\Users<username>\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB
Злоумышленники также могут подменить базовый шаблон своим, эксплуатируя порядок поиска в приложении (например, Word 2016 сначала будет искать Normal.dotm в каталоге C:\Program Files (x86)\Microsoft Office\root\Office16\
) или изменяя ключ реестра GlobalDotName. Изменив ключ реестра GlobalDotName, злоумышленник может указать произвольное местоположение, имя и расширение файла шаблона, который будет загружаться при запуске приложения. Чтобы использовать GlobalDotName, злоумышленникам сначала потребуется зарегистрировать шаблон как доверенный документ или разместить его в доверенном расположении.
Противнику может потребоваться снять ограничения на выполнение макросов в зависимости от политики безопасности системы или предприятия в отношении использования макросов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-262: Office_Template_Modification: Изменен стандартный шаблон документов. Приложения Microsoft Office содержат шаблоны, которые используются для настройки стилей. Базовые шаблоны используются при каждом запуске приложений
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may abuse Microsoft Office templates to obtain persistence on a compromised system. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Collect events related to Registry key modification for keys that could be used for Office-based persistence. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may abuse Microsoft Office templates to obtain persistence on a compromised system. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Collect events related to Registry key creation for keys that could be used for Office-based persistence. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to files that may abuse Microsoft Office templates to obtain persistence on a compromised system. Modification to base templates, like Normal.dotm, should also be investigated since the base templates should likely not contain VBA macros. Changes to the Office macro security settings should also be investigated |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files that may abuse Microsoft Office templates to obtain persistence on a compromised system. |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Office applications from creating child processes and from writing potentially malicious executable content to disk. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Follow Office macro security best practices suitable for your environment. Disable Office VBA macros from executing. Disable Office add-ins. If they are required, follow best practices for securing them by requiring them to be signed and disabling user notification for allowing add-ins. For some add-ins types (WLL, VBA) additional mitigation is likely required as disabling add-ins in the Office Trust Center does not disable WLL nor does it prevent VBA code from executing. |
---|