T1137: ЗАПУСК ОФІСНИХ ДОДАТКІВ
Зловмисники використовують додатки Microsoft Office (Word, Excel, Outlook) для забезпечення стійкості між перезавантаженнями системи. Оскільки Office є стандартним ПЗ у корпоративних мережах, хакери впроваджують шкідливий код у шаблони документів, надбудови (add-ins) або налаштовують специфічні правила автоматизації. Шкідливий код активується щоразу, коли користувач відкриває офісну програму, що дозволяє зловмиснику працювати непомітно в контексті довіреного бізнес-процесу.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть використовувати додатки на базі Microsoft Office для забезпечення стійкості між завантаженнями системи. Microsoft Office є досить поширеним пакетом програм в операційних системах на базі Windows у корпоративних мережах. Існує кілька механізмів, які можна використовувати в Office для закріплення під час запуску офісного додатка; це може включати використання макросів у шаблонах Office та надбудов.
Було виявлено різноманітні функції в Outlook, якими можна зловживати для отримання стійкості, такі як правила Outlook, форми та домашня сторінка (Home Page). Ці механізми закріплення можуть працювати всередині Outlook або використовуватися через Office 365.
Ключові методи закріплення через Office:
- Шаблони (Normal.dotm): Зловмисник модифікує глобальний шаблон Word. Тепер кожен новий або відкритий документ буде автоматично запускати шкідливий макрос.
- Надбудови (Add-ins): Встановлення шкідливих файлів .wll (для Word) або .xll (для Excel) у папки автозавантаження Office. Ці бібліотеки завантажуються в пам’ять разом із програмою.
- Правила Outlook: Створення правила: «Якщо в темі листа є слово ‘ACTIVATE’, запустити calc.exe». Зловмисник може використовувати це як прихований канал управління (C2).
- Outlook Home Page: Зміна URL-адреси домашньої сторінки папки в Outlook на шкідливий веб-сайт, який виконує скрипт через WebView щоразу, коли користувач переглядає цю папку.
Чому це ефективно?
- Довіра: Процеси winword.exe або outlook.exe зазвичай не блокуються фаєрволами для виходу в інтернет.
- Стійкість: Користувачі відкривають Office щодня, гарантуючи зловмиснику постійну присутність.
- Крос-платформеність: Деякі методи (наприклад, правила Outlook) синхронізуються через хмару Office 365 і можуть працювати на різних пристроях користувача.
Як захиститися?
- Вимкнення макросів: Використовуйте групові політики (GPO) для заборони виконання макросів з інтернету або дозволяйте лише підписані макроси.
- Моніторинг надбудову: Регулярно перевіряйте встановлені плагіни Office та реєстр за шляхом HKEY_CURRENT_USER\Software\Microsoft\Office[Version][App]\Resiliency.
- Аудит Outlook: Використовуйте PowerShell для сканування правил Outlook у всіх користувачів на предмет підозрілих дій (запуск програм).