T1221: Внедрение в шаблоны

Злоумышленники могут создавать или изменять ссылки в пользовательских шаблонах документов для маскировки вредоносного кода или выполнения принудительной аутентификации. Например, спецификация Office Open XML (OOXML) компании Microsoft определяет XML-формат документов Office (.docx, .xlsx, .pptx), заменяющий прежние двоичные форматы (.doc, .xls, .ppt). Файл OOXML представляет собой ZIP-архив, содержащий XML-файлы (называемые "частями") со свойствами, которые в совокупности определяют способ отображения документа.

Свойства, указанные в этих частях, могут содержать ссылки (URL-адреса) на общедоступные ресурсы. Например, свойства шаблона могут содержать ссылку на заранее отформатированную заготовку документа, которая загружается вместе с документом.

Злоумышленники могут злоупотреблять этой возможностью для скрытого внедрения вредоносного кода, который будет выполнен при открытии документа пользователем. Внедренные в документ шаблоны со ссылками могут использоваться для загрузки и выполнения полезных нагрузок при открытии документа. Такие документы могут доставляться с помощью других техник, таких как Фишинг или Заражение общего содержимого, которые позволяют обойти средства статического детектирования, так как типичные индикаторы (макросы VBA, сценарии и другие) появляются только после загрузки полезной нагрузки. Известны случаи, когда техника внедрения в шаблоны использовалась в реальной среде для загрузки вредоносного кода, содержащего эксплойт.

Злоумышленники также могут модифицировать управляющее слово *\template в RTF-файле, чтобы скрытно загрузить вредоносный код. Значение легитимного управляющего слова должно указывать путь к файлу шаблона, который извлекается и загружается при открытии RTF-файла. Однако злоумышленники могут заменить байты существующего RTF-файла и внедрить в управляющее слово шаблона поле с URL-адресом ресурса, на котором размещена полезная нагрузка.

Эта техника также позволяет выполнять принудительную аутентификацию: попытка аутентификации предпринимается после внедрения URL-адреса SMB/HTTPS-ресурса (или других ресурсов, запрашивающих учетные данные).

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен обнаруживать эксплуатацию уязвимостей, которые позволяют злоумышленникам создавать или изменять ссылки в шаблонах пользовательских документов для сокрытия вредоносного кода или для принудительной аутентификации.

Примеры правил обнаружения PT NAD

  • ATTACK [PTsecurity] Possible CVE-2022-30190 (Windows Support Diagnostic Tool) (sid 10007518)
  • SUSPICIOUS [PTsecurity] Download DOC file with VBAScript (sid 10003724)
  • ET INFO Doc Requesting Remote Template (.dotm) (sid 2031379)
  • POLICY [PTsecurity] SMB NTLM auth request to external net (sid 10005960)

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Анализируйте поведение процессов, чтобы выяснить, выполняют ли приложения Office такие действия, как установление сетевых подключений, чтение файлов, запуск аномальных дочерних процессов (например, PowerShell) и другие подозрительные операции, которые могут быть связаны с действиями злоумышленников после компрометации.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Системы предотвращения вторжений на уровне сети или хоста, антивирусы и детонационные камеры могут быть использованы для предотвращения получения документов и (или) выполнения полезных нагрузок.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы предотвращения вторжений на уровне сети или хоста, антивирусы и детонационные камеры могут быть использованы для предотвращения получения документов и (или) выполнения полезных нагрузок.

IDM1017НазваниеОбучение пользователейОписание

Научите пользователей распознавать техники социальной инженерии и целевые электронные письма, которые могут быть использованы для доставки вредоносных документов.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите макросы/активное содержимое Microsoft Office для предотвращения выполнения полезной нагрузки в документах, хотя эта настройка может и не защитить от использования принудительной аутентификации для реализации этой техники.