Техника на mitre.org

T1137.004: Домашняя страница Outlook

Злоумышленники могут использовать домашнюю страницу Microsoft Outlook, чтобы закрепиться в скомпрометированной системе. Домашняя страница Outlook — это устаревшая функция, применявшаяся для настройки отображения папок Outlook. Эта функция позволяет загружать внутренний или внешний URL-адрес и отображать его содержимое при каждом открытии папки. Злоумышленники могут создать вредоносную HTML-страницу, которая будет выполнять определенный код при загрузке домашней страницы Outlook.

После добавления вредоносных домашних страниц в почтовый ящик пользователя они будут загружаться при запуске Outlook. Вредоносные домашние страницы будут активироваться при загрузке или перезагрузке соответствующей папки Outlook.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-2702: Outlook_Malicious_Actions: Изменение наиболее опасных параметров в клиенте Outlook путем редактирования разделов реестра. Злоумышленник может изменить параметры в Outlook, чтобы выполнить произвольный код, повысить привилегии или закрепиться в системе

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками домашней страницы Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе через домашнюю страницу Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, в которых может использоваться домашняя страница Microsoft Outlook для закрепления злоумышленников в скомпрометированной системе.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками домашней страницы Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе через домашнюю страницу Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, в которых может использоваться домашняя страница Microsoft Outlook для закрепления злоумышленников в скомпрометированной системе.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .

ID	Название	Описание
M1051	Обновление ПО	Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.
M1040	Предотвращение некорректного поведения	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .