Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1221
Злоумышленники могут создавать или изменять ссылки в шаблонах пользовательских документов для сокрытия вредоносного кода или принудительной попытки аутентификации. Например, спецификация Office Open XML (OOXML) компании Microsoft определяет формат документов Office на основе XML (.docx, xlsx, .pptx), заменяющий старые двоичные форматы (.doc, .xls, .ppt).Файлы OOXML представляют собой упакованные вместе ZIP-архивы, состоящие из различных XML-файлов, называемых частями, содержащими свойства, которые в совокупности определяют способ отображения документа.(Цитата: Microsoft Open XML July 2017)
Свойства частей могут ссылаться на общие публичные ресурсы, доступные по онлайн-адресам. Например, свойства шаблона могут ссылаться на файл, служащий в качестве предварительно отформатированного образца документа, который извлекается при загрузке документа.
Злоумышленники могут использовать эти шаблоны для первоначального сокрытия вредоносного кода, который будет выполняться через документы пользователя. Ссылки на шаблоны, внедренные в документ, могут позволить извлекать и выполнять вредоносную полезную нагрузку при загрузке документа.(Цитата: SANS Brian Wiltse Template Injection) Эти документы могут быть доставлены с помощью других методов, таких как Phishing и/или Taint Shared Content, и могут ускользнуть от статического обнаружения, поскольку нет типичных индикаторов (макрос VBA, сценарий и т. д.).) присутствуют только после загрузки вредоносной полезной нагрузки.(Цитата: Redxorblue Remote Template Injection) В природе встречались примеры, когда инъекция шаблона использовалась для загрузки вредоносного кода, содержащего эксплойт.(Цитата: MalwareBytes Template Injection OCT 2017)
Злоумышленники также могут модифицировать управляющее слово *\template в файле .rtf, чтобы аналогичным образом скрыть и загрузить вредоносный код. Это легитимное значение управляющего слова предназначено для назначения файла ресурса файла шаблона, который извлекается и загружается при открытии файла .rtf.Однако злоумышленники могут изменить байты существующего .rtf-файла, чтобы вставить в поле управляющего слова шаблона URL-ресурс вредоносной полезной нагрузки.(Цитата: Proofpoint RTF Injection)(Цитата: Ciberseguridad Decoding malicious RTF files)
Эта техника также может обеспечить принудительную аутентификацию, внедряя SMB/HTTPS (или другой URL, запрашивающий учетные данные) и вызывая попытку аутентификации.(Цитата: Anomali Template Injection MAR 2018)(Цитата: Talos Template Injection July 2017)(Цитата: ryhanson phishery SEPT 2016)
https://attack.mitre.org/techniques/T1221
Визуализация смежных техник для T1221
| № | Техника |
|---|
