MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1137.006: Надстройки

Злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе. Надстройки Office могут использоваться для добавления определенной функциональности в программы Office . Существуют различные типы надстроек для разных продуктов Office, в том числе библиотеки надстроек Word/Excel (WLL/XLL), надстройки VBA, надстройки COM-модели Office, надстройки автоматизации, редактор VBA (VBE), надстройки Visual Studio Tools for Office (VSTO) и надстройки Outlook .

Надстройки могут использоваться для закрепления в системе, так как в них можно настроить выполнение кода при запуске приложения Office.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-263: Office_XLL_modification: Обнаружена попытка изменить параметры надстроек Excel в реестре ОС Windows

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may abuse Microsoft Office add-ins to obtain persistence on a compromised system.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Audit the Registry entries relevant for enabling add-ins.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may abuse Microsoft Office add-ins to obtain persistence on a compromised system.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Audit the Registry entries relevant for enabling add-ins.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files that may abuse Microsoft Office add-ins to obtain persistence on a compromised system.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files that may abuse Microsoft Office add-ins to obtain persistence on a compromised system.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Office applications from creating child processes and from writing potentially malicious executable content to disk.