Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1137 , T1137.001 , T1137.002 , T1137.003 , T1137.004 , T1137.005 , T1137.006
Злоумышленники могут злоупотреблять ключом реестра Microsoft Office "Office Test", чтобы получить постоянство в скомпрометированной системе. В реестре существует ключ Office Test, который позволяет пользователю указать произвольную библиотеку DLL, которая будет выполняться каждый раз при запуске приложения Office. Считается, что этот ключ реестра используется Microsoft для загрузки DLL в целях тестирования и отладки при разработке приложений Office.Этот ключ реестра не создается по умолчанию при установке Office.(Цитата: Hexacorn Office Test)(Цитата: Palo Alto Office Test Sofacy)
Существуют пользовательские и глобальные ключи реестра для функции Office Test, такие как:
* HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf
* HKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf
Злоумышленники могут добавить этот ключ реестра и указать вредоносную DLL, которая будет выполняться при каждом запуске приложения Office, такого как Word или Excel.
https://attack.mitre.org/techniques/T1137/002
Визуализация смежных техник для T1137.002
| № | Техника |
|---|
