Техника на mitre.org

T1137.006: Надстройки

Злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе. Надстройки Office могут использоваться для добавления определенной функциональности в программы Office . Существуют различные типы надстроек для разных продуктов Office, в том числе библиотеки надстроек Word/Excel (WLL/XLL), надстройки VBA, надстройки COM-модели Office, надстройки автоматизации, редактор VBA (VBE), надстройки Visual Studio Tools for Office (VSTO) и надстройки Outlook .

Надстройки могут использоваться для закрепления в системе, так как в них можно настроить выполнение кода при запуске приложения Office.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-263: Office_XLL_Modification: Обнаружена попытка изменить параметры надстроек Excel в реестре ОС Windows

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, в которых могут использоваться надстройки Microsoft Office для закрепления злоумышленников в скомпрометированной системе.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Проводите аудит записей реестра, связанных с включением надстроек.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью надстроек Microsoft Office.

ID	DS0024	Источник и компонент данных	Реестр Windows: Создание ключа реестра Windows	Описание	Проводите аудит записей реестра, связанных с включением надстроек.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, в которых могут использоваться надстройки Microsoft Office для закрепления злоумышленников в скомпрометированной системе.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Проводите аудит записей реестра, связанных с включением надстроек.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью надстроек Microsoft Office.
DS0024	Реестр Windows: Создание ключа реестра Windows	Проводите аудит записей реестра, связанных с включением надстроек.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе.

Меры противодействия

ID	M1040	Название	Предотвращение некорректного поведения	Описание	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .

ID	Название	Описание
M1040	Предотвращение некорректного поведения	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .