T1137.002: Office Test
Злоумышленники могут использовать ключ реестра Office Test для Microsoft Office, чтобы закрепиться в скомпрометированной системе. В реестре существует ключ Office Test, где пользователь может указать произвольную DLL-библиотеку, которая будет выполняться при каждом запуске приложения Office. Считается, что этот ключ реестра используется Microsoft для загрузки DLL-библиотек в целях тестирования и отладки при разработке приложений Office. Этот ключ реестра не создается по умолчанию при установке Office.
Существуют пользовательские и глобальные ключи реестра Office Test, например:
HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\PerfHKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf
Злоумышленники могут добавить этот ключ реестра и указать вредоносную DLL-библиотеку, которая будет выполняться при каждом запуске приложений Office, таких как Word или Excel.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-949: Suspicious_Office_Dll_Startup: Запуск DLL при запуске приложения MS Office mitre_attck_persistence: PT-CR-963: Perf_Key_Modify: Изменено значение ключа реестра Perf
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью ключа реестра "Office Test" для Microsoft Office. |
|---|
| ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых может использоваться ключ реестра "Office Test" для Microsoft Office с целью закрепления злоумышленников в скомпрометированной системе. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте создание ключа реестра "Office Test". Собирайте события, связанные с созданием ключей реестра, которые могут быть использованы для закрепления в системе с помощью приложений Office. Начиная с версии 13.52 Autoruns может обнаруживать задания, установленные с помощью ключа реестра "Office Test". |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать ключ реестра "Office Test" для Microsoft Office, чтобы закрепиться в скомпрометированной системе. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключе реестра "Office Test". Собирайте события, связанные с модификацией ключей реестра, которые могут быть использованы для закрепления в системе с помощью приложений Office. Начиная с версии 13.52 Autoruns может обнаруживать задания, установленные с помощью ключа реестра "Office Test". |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать ключ реестра "Office Test" для Microsoft Office, чтобы закрепиться в скомпрометированной системе. |
|---|
Меры противодействия
| ID | M1054 | Название | Изменение конфигурации ПО | Описание | Создайте ключ реестра, используемый для реализации метода Office Test, и установите только разрешение "Чтение разрешений", чтобы предотвратить легкий доступ к ключу без прав администратора и повышения привилегий. |
|---|
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск . |
|---|