T1137.001: Макрос в шаблоне
Злоумышленники могут использовать шаблоны Microsoft Office, чтобы закрепиться в скомпрометированной системе. Microsoft Office содержит шаблоны, которые входят в состав распространенных приложений Office и используются для настройки стилей. Базовые шаблоны приложения используются при каждом его запуске .
Макросы Office Visual Basic for Applications (VBA) могут быть вставлены в базовый шаблон и использованы для выполнения кода при запуске соответствующего приложения Office с целью закрепления в системе. Были обнаружены и опубликованы соответствующие примеры для Word и Excel. По умолчанию в Word создан шаблон Normal.dotm, который можно модифицировать, включив в него вредоносный макрос. В Excel нет файла шаблона, созданного по умолчанию, но его можно добавить, и он будет автоматически загружаться. Общие шаблоны также можно хранить на удаленных ресурсах и получать их оттуда.
Расположение шаблона Normal.dotm приложения Word:
C:\Users<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm
Расположение шаблона Personal.xlsb приложения Excel:
C:\Users<username>\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB
Злоумышленники также могут подменить базовый шаблон своим, эксплуатируя порядок поиска в приложении (например, Word 2016 сначала будет искать Normal.dotm в каталоге C:\Program Files (x86)\Microsoft Office\root\Office16</code>) или изменяя ключ реестра GlobalDotName. Изменив ключ реестра GlobalDotName, злоумышленник может указать произвольное местоположение, имя и расширение файла шаблона, который будет загружаться при запуске приложения. Чтобы использовать GlobalDotName, злоумышленникам сначала потребуется зарегистрировать шаблон как доверенный документ или разместить его в доверенном расположении.
Противнику может потребоваться снять ограничения на выполнение макросов в зависимости от политики безопасности системы или предприятия в отношении использования макросов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-2702: Outlook_Malicious_Actions: Изменение наиболее опасных параметров в клиенте Outlook путем редактирования разделов реестра. Злоумышленник может изменить параметры в Outlook, чтобы выполнить произвольный код, повысить привилегии или закрепиться в системе mitre_attck_persistence: PT-CR-2666: Outlook_VbaProjectOTM_Replace: Замена файла VbaProject.OTM, отвечающего за хранение макросов VBA. Это может свидетельствовать о попытке злоумышленника использовать вредоносные макросы для того, чтобы закрепиться в системе, выполнить произвольный код или повысить привилегии mitre_attck_persistence: PT-CR-262: Office_Template_Modification: Изменен стандартный шаблон документов. Приложения Microsoft Office содержат шаблоны, которые используются для настройки стилей. Базовые шаблоны используются при каждом запуске приложений
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать шаблоны Microsoft Office, чтобы закрепиться в скомпрометированной системе. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Собирайте события, связанные с модификацией ключей реестра, которые могут быть использованы для закрепления в системе с помощью приложений Office. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых могут использоваться шаблоны Microsoft Office для закрепления злоумышленников в скомпрометированной системе. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Собирайте события, связанные с созданием ключей реестра, которые могут быть использованы для закрепления в системе с помощью приложений Office. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использовать шаблоны Microsoft Office для закрепления в скомпрометированной системе. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать шаблоны Microsoft Office, чтобы закрепиться в скомпрометированной системе. Кроме того, рекомендуется контролировать изменения, вносимые в базовые шаблоны, такие как Normal.dotm, — по умолчанию эти шаблоны не должны содержать макросы VBA. Также рекомендуется рассматривать изменения в настройках безопасности макросов Office. |
|---|
Меры противодействия
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск . |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Следуйте передовым методам обеспечения безопасности макросов Office, подходящим для вашей среды. Отключите выполнение макросов Office VBA. Отключите надстройки Office. Если они необходимы, следуйте передовым методам их защиты, требуя подписывать их и отключая уведомления пользователей о разрешении надстроек. Для некоторых типов надстроек (WLL, VBA), вероятно, потребуется дополнительная защита, поскольку отключение надстроек в Office Trust Center не отключает WLL и не предотвращает выполнение кода VBA . |
|---|