T1559.002: Динамический обмен данными (DDE)

Злоумышленники могут воспользоваться динамическим обменом данными (DDE) в Windows для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий разовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут автономно обмениваться транзакциями, включающими строки, информацию об изменениях данных, передаваемую по "теплым" и "горячим" каналам (уведомления об изменениях данных и их новые значения), и запросы на выполнение команд.

Технология связывания и внедрения объектов (OLE), позволяющая устанавливать связи между данными в разных документах, изначально была реализована посредством DDE. Хотя этот протокол был заменен COM-моделью, DDE можно включить в Windows 10 и большинстве компонентов Microsoft Office 2016 с помощью ключей реестра.

Злоумышленники могут внедрять команды DDE в документы Microsoft Office как напрямую, так и через встроенные файлы, чтобы затем использовать для выполнения кода при открытии пользователем вложений в фишинговых письмах или обращении к веб-контенту, избегая, таким образом, применения макросов Visual Basic for Applications (VBA). Аналогичным образом злоумышленники могут создать полезную нагрузку для выполнения приложений и (или) команд на устройстве жертвы путем встраивания формул DDE в файл CSV, открываемый в редакторе электронных таблиц для Windows.

DDE также может задействовать злоумышленник, который управляет скомпрометированной системой без прямого доступа к интерпретатору командной строки и сценариев. Выполнение команд DDE можно реализовать удаленно через службы удаленного доступа, такие как распределенная COM-модель (DCOM).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT)

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Отслеживайте в файлах OLE и Office Open XML наличие строк, указывающих на выполнение DDE, таких как DDEAUTO и DDE (https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents).

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте аномальное поведение процессов, которое может указывать на несанкционированное использование DDE, в частности случаи загрузки приложениями Microsoft Office DLL-файлов и других модулей, не связанных с приложением, или порождение этими приложениями нетипичных процессов (таких как cmd.exe).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, в которых может использоваться динамический обмен данными (DDE) для выполнения произвольных команд. Злоумышленники могут воспользоваться динамическим обменом данными (DDE) для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий одноразовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут обмениваться транзакциями без участия пользователя. Эти транзакции включают строки, "теплые" ссылки на данные (уведомления об изменении данных), "горячие" ссылки на данные (дублирование изменений данных) и запросы на выполнение команд.

Аналитика 1. Порождение нетипичных дочерних процессов посредством эксплуатации DDE

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="*.exe" (ParentImage="*excel.exe" OR ParentImage="*word.exe" OR ParentImage="*outlook.exe")

Меры противодействия

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Проследите, чтобы функция Protected View была включена.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Для отключения автоматического выполнения DDE/OLE можно установить ключи реестра, связанные с защитой управления функциями Microsoft Office . Компания Microsoft также создала и включила по умолчанию ключи реестра, чтобы полностью отключить выполнение DDE в Word и Excel.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Включите правила Attack Surface Reduction (ASR) в Windows 10 для предотвращения атак с эксплуатацией DDE и порождения дочерних процессов из программ Office.

IDM1054НазваниеИзменение конфигурации ПООписание

По возможности отключите встроенные файлы в программах Office, такие как OneNote, которые не работают с Protected View.