Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1137.001 - Макросы шаблонов Office

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1137 , T1137.001 , T1137.002 , T1137.003 , T1137.004 , T1137.005 , T1137.006

Злоумышленники могут использовать шаблоны Microsoft Office для получения устойчивости на взломанной системе. Microsoft Office содержит шаблоны, которые являются частью обычных приложений Office и используются для настройки стилей. Базовые шаблоны в приложении используются при каждом запуске приложения.(Цитата: Microsoft Change Normal Template)

Макросы Office Visual Basic for Applications (VBA) (Цитата: MSDN VBA in Office) могут быть вставлены в базовый шаблон и использованы для выполнения кода при запуске соответствующего приложения Office, чтобы получить постоянство. Были найдены и опубликованы примеры для Word и Excel. По умолчанию в Word создается шаблон Normal.dotm, который может быть модифицирован для включения вредоносного макроса. В Excel файл шаблона не создается по умолчанию, но его можно добавить, и он будет автоматически загружаться.(Цитата: enigma0x3 normal.dotm)(Цитата: Hexacorn Office Template Macros) Общие шаблоны также могут храниться и извлекаться из удаленных мест.(Цитата: GlobalDotName Jun 2019)

Word Normal.dotm location:

C:\Users\<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm

Excel Personal.xlsb location:

C:\Users\<username>\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB

Злоумышленники также могут изменить расположение базового шаблона на свое собственное, перехватив порядок поиска в приложении, например.Например, Word 2016 сначала будет искать Normal.dotm в C:\Program Files (x86)\Microsoft Office\root\Office16\, или путем изменения ключа реестра GlobalDotName. Модифицируя ключ реестра GlobalDotName, злоумышленник может указать произвольное местоположение, имя и расширение файла для шаблона, который будет загружаться при запуске приложения.Для злоупотребления GlobalDotName злоумышленникам может потребоваться сначала зарегистрировать шаблон в качестве доверенного документа или поместить его в доверенное место.(Цитата: GlobalDotName Jun 2019)

В зависимости от политики безопасности системы или предприятия в отношении использования макросов злоумышленникам может потребоваться разрешить неограниченное выполнение макросов.

https://attack.mitre.org/techniques/T1137/001

← Назад

Визуализация смежных техник для T1137.001

Отрасль:
 с подтехниками
Техника

Закрыть