Техника на mitre.org

T1221: Внедрение в шаблоны

Злоумышленники могут создавать или изменять ссылки в пользовательских шаблонах документов для маскировки вредоносного кода или выполнения принудительной аутентификации. Например, спецификация Office Open XML (OOXML) компании Microsoft определяет XML-формат документов Office (.docx, .xlsx, .pptx), заменяющий прежние двоичные форматы (.doc, .xls, .ppt). Файл OOXML представляет собой ZIP-архив, содержащий XML-файлы (называемые "частями") со свойствами, которые в совокупности определяют способ отображения документа.

Свойства, указанные в этих частях, могут содержать ссылки (URL-адреса) на общедоступные ресурсы. Например, свойства шаблона могут содержать ссылку на заранее отформатированную заготовку документа, которая загружается вместе с документом.

Злоумышленники могут злоупотреблять этой возможностью для скрытого внедрения вредоносного кода, который будет выполнен при открытии документа пользователем. Внедренные в документ шаблоны со ссылками могут использоваться для загрузки и выполнения полезных нагрузок при открытии документа. Такие документы могут доставляться с помощью других техник, таких как Фишинг или Заражение общего содержимого, которые позволяют обойти средства статического детектирования, так как типичные индикаторы (макросы VBA, сценарии и другие) появляются только после загрузки полезной нагрузки. Известны случаи, когда техника внедрения в шаблоны использовалась в реальной среде для загрузки вредоносного кода, содержащего эксплойт.

Злоумышленники также могут модифицировать управляющее слово *\template в RTF-файле, чтобы скрытно загрузить вредоносный код. Значение легитимного управляющего слова должно указывать путь к файлу шаблона, который извлекается и загружается при открытии RTF-файла. Однако злоумышленники могут заменить байты существующего RTF-файла и внедрить в управляющее слово шаблона поле с URL-адресом ресурса, на котором размещена полезная нагрузка.

Эта техника также позволяет выполнять принудительную аутентификацию: попытка аутентификации предпринимается после внедрения URL-адреса SMB/HTTPS-ресурса (или других ресурсов, запрашивающих учетные данные).

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен обнаруживать эксплуатацию уязвимостей, которые позволяют злоумышленникам создавать или изменять ссылки в шаблонах пользовательских документов для сокрытия вредоносного кода или для принудительной аутентификации.

Примеры правил обнаружения PT NAD

ATTACK [PTsecurity] Possible CVE-2022-30190 (Windows Support Diagnostic Tool) (sid 10007518)
SUSPICIOUS [PTsecurity] Download DOC file with VBAScript (sid 10003724)
ET INFO Doc Requesting Remote Template (.dotm) (sid 2031379)
POLICY [PTsecurity] SMB NTLM auth request to external net (sid 10005960)

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Анализируйте поведение процессов, чтобы выяснить, выполняют ли приложения Office такие действия, как установление сетевых подключений, чтение файлов, запуск аномальных дочерних процессов (например, PowerShell) и другие подозрительные операции, которые могут быть связаны с действиями злоумышленников после компрометации.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0009	Процесс: Создание процесса	Анализируйте поведение процессов, чтобы выяснить, выполняют ли приложения Office такие действия, как установление сетевых подключений, чтение файлов, запуск аномальных дочерних процессов (например, PowerShell) и другие подозрительные операции, которые могут быть связаны с действиями злоумышленников после компрометации.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы предотвращения вторжений на уровне сети или хоста, антивирусы и детонационные камеры могут быть использованы для предотвращения получения документов и (или) выполнения полезных нагрузок.

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Системы предотвращения вторжений на уровне сети или хоста, антивирусы и детонационные камеры могут быть использованы для предотвращения получения документов и (или) выполнения полезных нагрузок.

ID	M1017	Название	Обучение пользователей	Описание	Научите пользователей распознавать техники социальной инженерии и целевые электронные письма, которые могут быть использованы для доставки вредоносных документов.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	По возможности отключите макросы/активное содержимое Microsoft Office для предотвращения выполнения полезной нагрузки в документах, хотя эта настройка может и не защитить от использования принудительной аутентификации для реализации этой техники.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы предотвращения вторжений на уровне сети или хоста, антивирусы и детонационные камеры могут быть использованы для предотвращения получения документов и (или) выполнения полезных нагрузок.
M1049	Антивирус или ПО для защиты от вредоносных программ	Системы предотвращения вторжений на уровне сети или хоста, антивирусы и детонационные камеры могут быть использованы для предотвращения получения документов и (или) выполнения полезных нагрузок.
M1017	Обучение пользователей	Научите пользователей распознавать техники социальной инженерии и целевые электронные письма, которые могут быть использованы для доставки вредоносных документов.
M1042	Отключение или удаление компонента или программы	По возможности отключите макросы/активное содержимое Microsoft Office для предотвращения выполнения полезной нагрузки в документах, хотя эта настройка может и не защитить от использования принудительной аутентификации для реализации этой техники.