Техника на mitre.org

T1559.002: Динамический обмен данными (DDE)

Злоумышленники могут воспользоваться динамическим обменом данными (DDE) в Windows для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий разовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут автономно обмениваться транзакциями, включающими строки, информацию об изменениях данных, передаваемую по "теплым" и "горячим" каналам (уведомления об изменениях данных и их новые значения), и запросы на выполнение команд.

Технология связывания и внедрения объектов (OLE), позволяющая устанавливать связи между данными в разных документах, изначально была реализована посредством DDE. Хотя этот протокол был заменен COM-моделью, DDE можно включить в Windows 10 и большинстве компонентов Microsoft Office 2016 с помощью ключей реестра.

Злоумышленники могут внедрять команды DDE в документы Microsoft Office как напрямую, так и через встроенные файлы, чтобы затем использовать для выполнения кода при открытии пользователем вложений в фишинговых письмах или обращении к веб-контенту, избегая, таким образом, применения макросов Visual Basic for Applications (VBA). Аналогичным образом злоумышленники могут создать полезную нагрузку для выполнения приложений и (или) команд на устройстве жертвы путем встраивания формул DDE в файл CSV, открываемый в редакторе электронных таблиц для Windows.

DDE также может задействовать злоумышленник, который управляет скомпрометированной системой без прямого доступа к интерпретатору командной строки и сценариев. Выполнение команд DDE можно реализовать удаленно через службы удаленного доступа, такие как распределенная COM-модель (DCOM).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT)

Способы обнаружения

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Отслеживайте в файлах OLE и Office Open XML наличие строк, указывающих на выполнение DDE, таких как `DDEAUTO` и `DDE` (https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents).

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте аномальное поведение процессов, которое может указывать на несанкционированное использование DDE, в частности случаи загрузки приложениями Microsoft Office DLL-файлов и других модулей, не связанных с приложением, или порождение этими приложениями нетипичных процессов (таких как cmd.exe).

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, в которых может использоваться динамический обмен данными (DDE) для выполнения произвольных команд. Злоумышленники могут воспользоваться динамическим обменом данными (DDE) для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий одноразовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут обмениваться транзакциями без участия пользователя. Эти транзакции включают строки, "теплые" ссылки на данные (уведомления об изменении данных), "горячие" ссылки на данные (дублирование изменений данных) и запросы на выполнение команд. Аналитика 1. Порождение нетипичных дочерних процессов посредством эксплуатации DDE `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image=".exe" (ParentImage="excel.exe" OR ParentImage="word.exe" OR ParentImage="outlook.exe")`

ID	Источник и компонент данных	Описание
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Отслеживайте в файлах OLE и Office Open XML наличие строк, указывающих на выполнение DDE, таких как `DDEAUTO` и `DDE` (https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents).
DS0011	Модуль: Загрузка модуля	Отслеживайте аномальное поведение процессов, которое может указывать на несанкционированное использование DDE, в частности случаи загрузки приложениями Microsoft Office DLL-файлов и других модулей, не связанных с приложением, или порождение этими приложениями нетипичных процессов (таких как cmd.exe).
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, в которых может использоваться динамический обмен данными (DDE) для выполнения произвольных команд. Злоумышленники могут воспользоваться динамическим обменом данными (DDE) для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий одноразовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут обмениваться транзакциями без участия пользователя. Эти транзакции включают строки, "теплые" ссылки на данные (уведомления об изменении данных), "горячие" ссылки на данные (дублирование изменений данных) и запросы на выполнение команд. Аналитика 1. Порождение нетипичных дочерних процессов посредством эксплуатации DDE `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image=".exe" (ParentImage="excel.exe" OR ParentImage="word.exe" OR ParentImage="outlook.exe")`

Меры противодействия

ID	M1048	Название	Изоляция и помещение в песочницу приложений	Описание	Проследите, чтобы функция Protected View была включена.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Для отключения автоматического выполнения DDE/OLE можно установить ключи реестра, связанные с защитой управления функциями Microsoft Office . Компания Microsoft также создала и включила по умолчанию ключи реестра, чтобы полностью отключить выполнение DDE в Word и Excel.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	Включите правила Attack Surface Reduction (ASR) в Windows 10 для предотвращения атак с эксплуатацией DDE и порождения дочерних процессов из программ Office.

ID	M1054	Название	Изменение конфигурации ПО	Описание	По возможности отключите встроенные файлы в программах Office, такие как OneNote, которые не работают с Protected View.

ID	Название	Описание
M1048	Изоляция и помещение в песочницу приложений	Проследите, чтобы функция Protected View была включена.
M1042	Отключение или удаление компонента или программы	Для отключения автоматического выполнения DDE/OLE можно установить ключи реестра, связанные с защитой управления функциями Microsoft Office . Компания Microsoft также создала и включила по умолчанию ключи реестра, чтобы полностью отключить выполнение DDE в Word и Excel.
M1040	Предотвращение некорректного поведения	Включите правила Attack Surface Reduction (ASR) в Windows 10 для предотвращения атак с эксплуатацией DDE и порождения дочерних процессов из программ Office.
M1054	Изменение конфигурации ПО	По возможности отключите встроенные файлы в программах Office, такие как OneNote, которые не работают с Protected View.