Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1559.002 - Динамический обмен данными

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1559 , T1559.001 , T1559.002 , T1559.003

Злоумышленники могут использовать Windows Dynamic Data Exchange (DDE) для выполнения произвольных команд. DDE - это клиент-серверный протокол для однократного и/или непрерывного межпроцессного взаимодействия (IPC) между приложениями. После установления связи приложения могут автономно обмениваться транзакциями, состоящими из строк, теплых ссылок на данные (уведомления об изменении элемента данных), горячих ссылок на данные (дублирование изменений в элементе данных) и запросов на выполнение команд.

Связывание и встраивание объектов (OLE), или возможность связывать данные между документами, первоначально была реализована с помощью DDE.Несмотря на замену Component Object Model, DDE можно включить в Windows 10 и большинстве Microsoft Office 2016 через ключи реестра.(Цитата: BleepingComputer DDE Disabled in Word Dec 2017)(Цитата: Microsoft ADV170021 Dec 2017)(Цитата: Microsoft DDE Advisory Nov 2017)

Документы Microsoft Office могут быть отравлены командами DDE, напрямую или через встроенные файлы, и использованы для доставки исполнения через Phishing кампании или размещенный веб-контент, избегая использования макросов Visual Basic for Applications (VBA).(Цитата: SensePost PS DDE May 2016)(Цитата: Kettle CSV DDE Aug 2014)(Цитата: Enigma Reviving DDE Jan 2018)(Цитата: SensePost MacroLess DDE Oct 2017) Аналогично, злоумышленники могут заразить полезную нагрузку для выполнения приложений и/или команд на устройстве жертвы путем встраивания формул DDE в CSV-файл, предназначенный для открытия через программу электронных таблиц Windows.(Цитата: OWASP CSV Injection)(Цитата: CSV Excel Macro Injection )

DDE также может быть использован Злоумышленником, работающим на взломанной машине и не имеющим прямого доступа к Command and Scripting Interpreter.Выполнение DDE может быть вызвано удаленно через Remote Services, такие как Distributed Component Object Model (DCOM).(Цитата: Fireeye Hunting COM June 2019)

https://attack.mitre.org/techniques/T1559/002

← Назад

Визуализация смежных техник для T1559.002

Отрасль:
 с подтехниками
Техника

Закрыть