T1137.006: Надстройки
Злоумышленники могут использовать надстройки Microsoft Office, чтобы закрепиться в скомпрометированной системе. Надстройки Office могут использоваться для добавления определенной функциональности в программы Office . Существуют различные типы надстроек для разных продуктов Office, в том числе библиотеки надстроек Word/Excel (WLL/XLL), надстройки VBA, надстройки COM-модели Office, надстройки автоматизации, редактор VBA (VBE), надстройки Visual Studio Tools for Office (VSTO) и надстройки Outlook .
Надстройки могут использоваться для закрепления в системе, так как в них можно настроить выполнение кода при запуске приложения Office.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-263: Office_XLL_modification: Обнаружена попытка изменить параметры надстроек Excel в реестре ОС Windows
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may abuse Microsoft Office add-ins to obtain persistence on a compromised system. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Audit the Registry entries relevant for enabling add-ins. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may abuse Microsoft Office add-ins to obtain persistence on a compromised system. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Audit the Registry entries relevant for enabling add-ins. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to files that may abuse Microsoft Office add-ins to obtain persistence on a compromised system. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files that may abuse Microsoft Office add-ins to obtain persistence on a compromised system. |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Office applications from creating child processes and from writing potentially malicious executable content to disk. |
---|