T1559.002: Динамический обмен данными (DDE)
Злоумышленники могут воспользоваться динамическим обменом данными (DDE) в Windows для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий разовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут автономно обмениваться транзакциями, включающими строки, информацию об изменениях данных, передаваемую по "теплым" и "горячим" каналам (уведомления об изменениях данных и их новые значения), и запросы на выполнение команд.
Технология связывания и внедрения объектов (OLE), позволяющая устанавливать связи между данными в разных документах, изначально была реализована посредством DDE. Хотя этот протокол был заменен COM-моделью, DDE можно включить в Windows 10 и большинстве компонентов Microsoft Office 2016 с помощью ключей реестра.
Злоумышленники могут внедрять команды DDE в документы Microsoft Office как напрямую, так и через встроенные файлы, чтобы затем использовать для выполнения кода при открытии пользователем вложений в фишинговых письмах или обращении к веб-контенту, избегая, таким образом, применения макросов Visual Basic for Applications (VBA). Аналогичным образом злоумышленники могут создать полезную нагрузку для выполнения приложений и (или) команд на устройстве жертвы путем встраивания формул DDE в файл CSV, открываемый в редакторе электронных таблиц для Windows.
DDE также может задействовать злоумышленник, который управляет скомпрометированной системой без прямого доступа к интерпретатору командной строки и сценариев. Выполнение команд DDE можно реализовать удаленно через службы удаленного доступа, такие как распределенная COM-модель (DCOM).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT)
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Отслеживайте в файлах OLE и Office Open XML наличие строк, указывающих на выполнение DDE, таких как |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте аномальное поведение процессов, которое может указывать на несанкционированное использование DDE, в частности случаи загрузки приложениями Microsoft Office DLL-файлов и других модулей, не связанных с приложением, или порождение этими приложениями нетипичных процессов (таких как cmd.exe). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых может использоваться динамический обмен данными (DDE) для выполнения произвольных команд. Злоумышленники могут воспользоваться динамическим обменом данными (DDE) для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий одноразовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут обмениваться транзакциями без участия пользователя. Эти транзакции включают строки, "теплые" ссылки на данные (уведомления об изменении данных), "горячие" ссылки на данные (дублирование изменений данных) и запросы на выполнение команд. Аналитика 1. Порождение нетипичных дочерних процессов посредством эксплуатации DDE
|
---|
Меры противодействия
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Проследите, чтобы функция Protected View была включена. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Для отключения автоматического выполнения DDE/OLE можно установить ключи реестра, связанные с защитой управления функциями Microsoft Office . Компания Microsoft также создала и включила по умолчанию ключи реестра, чтобы полностью отключить выполнение DDE в Word и Excel. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Включите правила Attack Surface Reduction (ASR) в Windows 10 для предотвращения атак с эксплуатацией DDE и порождения дочерних процессов из программ Office. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | По возможности отключите встроенные файлы в программах Office, такие как OneNote, которые не работают с Protected View. |
---|