MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1137.002: Office Test

Злоумышленники могут использовать ключ реестра Office Test для Microsoft Office, чтобы закрепиться в скомпрометированной системе. В реестре существует ключ Office Test, где пользователь может указать произвольную DLL-библиотеку, которая будет выполняться при каждом запуске приложения Office. Считается, что этот ключ реестра используется Microsoft для загрузки DLL-библиотек в целях тестирования и отладки при разработке приложений Office. Этот ключ реестра не создается по умолчанию при установке Office.

Существуют пользовательские и глобальные ключи реестра Office Test, например:

  • HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf

Злоумышленники могут добавить этот ключ реестра и указать вредоносную DLL-библиотеку, которая будет выполняться при каждом запуске приложений Office, таких как Word или Excel.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-949: Suspicious_Office_Dll_Startup: Запуск DLL при запуске приложения MS Office
mitre_attck_persistence: PT-CR-963: Perf_Key_Modify: Изменено значение ключа реестра Perf

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor DLL/PE file events, specifically creation of these binary files as well as the loading of DLLs into processes. Look for DLLs that are not recognized or not normally loaded into a process.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may abuse the Microsoft Office "Office Test" Registry key to obtain persistence on a compromised system.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor for changes made to the Office Test Registry key. Collect events related to Registry key modification for keys that could be used for Office-based persistence. Since v13.52, Autoruns can detect tasks set up using the Office Test Registry key.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may abuse the Microsoft Office "Office Test" Registry key to obtain persistence on a compromised system.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Monitor for the creation of the Office Test Registry key. Collect events related to Registry key creation for keys that could be used for Office-based persistence. Since v13.52, Autoruns can detect tasks set up using the Office Test Registry key.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files that may abuse the Microsoft Office "Office Test" Registry key to obtain persistence on a compromised system.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files that may abuse the Microsoft Office "Office Test" Registry key to obtain persistence on a compromised system.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Create the Registry key used to execute it and set the permissions to "Read Control" to prevent easy access to the key without administrator permissions or requiring Privilege Escalation.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Office applications from creating child processes and from writing potentially malicious executable content to disk.