Техника на mitre.org

T1137.003: Формы Outlook

Злоумышленники могут использовать формы Microsoft Outlook, чтобы закрепиться в скомпрометированной системе. Формы Outlook используются в качестве шаблонов для оформления и функциональности сообщений Outlook. Злоумышленники могут создать формы Outlook, которые будут выполнять определенный код, если злоумышленник отправит специальным образом подготовленное письмо с такой формой.

После добавления вредоносных форм в почтовый ящик пользователя они будут загружаться при запуске Outlook. Вредоносные формы будут активироваться, когда злоумышленник отправит пользователю специальным образом подготовленное письмо.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2314: CVE_2024_21378_Outlook_RCE: Эксплуатация уязвимости CVE-2024-21378 в Outlook. Уязвимость позволяет выполнить произвольный код с помощью форм Outlook mitre_attck_persistence: PT-CR-2649: Outlook_Form_Exploitation: Приложение Outlook запустило подозрительный процесс после создания пользовательской формы в клиенте Outlook. Это может свидетельствовать о попытке злоумышленника закрепиться в системе или выполнить произвольный код mitre_attck_persistence: PT-CR-2668: Outlook_Form_Creation: Создана пользовательская форма в клиенте Outlook. Это может быть действием злоумышленника с целью повысить привилегии или выполнить произвольный код

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, в которых могут использоваться формы Microsoft Outlook с целью закрепления злоумышленников в скомпрометированной системе.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками форм Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью форм Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, в которых могут использоваться формы Microsoft Outlook с целью закрепления злоумышленников в скомпрометированной системе.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками форм Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью форм Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .

ID	Название	Описание
M1051	Обновление ПО	Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.
M1040	Предотвращение некорректного поведения	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .