MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1559.002: Динамический обмен данными (DDE)

Злоумышленники могут воспользоваться динамическим обменом данными (DDE) в Windows для выполнения произвольных команд. DDE — это клиент-серверный протокол, обеспечивающий разовое и (или) непрерывное межпроцессное взаимодействие между приложениями. После установления связи приложения могут автономно обмениваться транзакциями, включающими строки, информацию об изменениях данных, передаваемую по "теплым" и "горячим" каналам (уведомления об изменениях данных и их новые значения), и запросы на выполнение команд.

Технология связывания и внедрения объектов (OLE), позволяющая устанавливать связи между данными в разных документах, изначально была реализована посредством DDE. Хотя этот протокол был заменен COM-моделью, DDE можно включить в Windows 10 и большинстве компонентов Microsoft Office 2016 с помощью ключей реестра.

Злоумышленники могут внедрять команды DDE в документы Microsoft Office как напрямую, так и через встроенные файлы, чтобы затем использовать для выполнения кода при открытии пользователем вложений в фишинговых письмах или обращении к веб-контенту, избегая, таким образом, применения макросов Visual Basic for Applications (VBA). Аналогичным образом злоумышленники могут создать полезную нагрузку для выполнения приложений и (или) команд на устройстве жертвы путем встраивания формул DDE в файл CSV, открываемый в редакторе электронных таблиц для Windows.

DDE также может задействовать злоумышленник, который управляет скомпрометированной системой без прямого доступа к интерпретатору командной строки и сценариев. Выполнение команд DDE можно реализовать удаленно через службы удаленного доступа, такие как распределенная COM-модель (DCOM).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT)
hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Обнаружен запуск загрузчика Cobalt Strike

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes that may use Windows Dynamic Data Exchange (DDE) to execute arbitrary commands. Adversaries may use Windows Dynamic Data Exchange (DDE) to execute arbitrary commands. DDE is a client-server protocol for one-time and/or continuous inter-process communication (IPC) between applications. Once a link is established, applications can autonomously exchange transactions consisting of strings, warm data links (notifications when a data item changes), hot data links (duplications of changes to a data item), and requests for command execution.

Analytic 1 - Unusual Child Process spawned using DDE exploit

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="*.exe" (ParentImage="*excel.exe" OR ParentImage="*word.exe" OR ParentImage="*outlook.exe")

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor processes for abnormal behavior indicative of DDE abuse, such as Microsoft Office applications loading DLLs and other modules not typically associated with the application or these applications spawning unusual processes (such as cmd.exe).

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Monitor for any attempts to enable scripts running on a system would be considered suspicious. OLE and Office Open XML files can be scanned for ‘DDEAUTO', ‘DDE’, and other strings indicative of DDE execution.https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Registry keys specific to Microsoft Office feature control security can be set to disable automatic DDE/OLE execution. Microsoft also created, and enabled by default, Registry keys to completely disable DDE execution in Word and Excel.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent DDE attacks and spawning of child processes from Office programs.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Ensure Protected View is enabled.

IDM1054НазваниеИзменение конфигурации ПООписание

Consider disabling embedded files in Office programs, such as OneNote, that do not work with Protected View.