T1137

راه‌اندازی برنامه Office

Office Application Startup

توضیحات

مهاجمان از مکانیزم‌های راه‌اندازی برنامه‌های Microsoft Office برای پایداری سوءاستفاده می‌کنند. این تکنیک شامل سوءاستفاده از template‌های Office، add-in‌ها، فرم‌های Outlook و سایر مکانیزم‌های startup Office می‌شود. کد مخرب در هنگام باز شدن برنامه‌های Office اجرا می‌شود.

زیرتکنیک‌ها (4)

شناسهنام

T1137.001

ماکروهای قالب OfficeOffice Template Macros

مهاجمان کد مخرب را در قالب‌های Microsoft Office جاسازی می‌کنند تا در هنگام باز شدن برنامه‌های Office اجرا شود. قالب‌های Normal.dotm در Word و Personal.xlsb در Excel اهداف رایج هستند. این تکنیک به مهاجمان اجازه می‌دهد ماکروهای مخرب را در هر سند جدید اجرا کنند.

T1137.002

تست OfficeOffice Test

مهاجمان از کلید رجیستری Office Test برای اجرای DLL مخرب در هنگام راه‌اندازی برنامه‌های Office سوءاستفاده می‌کنند. با اضافه کردن مسیر DLL مخرب به کلید رجیستری HKCU\Software\Microsoft\Office test\Special\Perf، کد مخرب در هر بار باز شدن Office اجرا می‌شود.

T1137.004

صفحه اصلی OutlookOutlook Home Page

مهاجمان از ویژگی Home Page در Outlook برای بارگذاری صفحات HTML مخرب سوءاستفاده می‌کنند. با تنظیم URL یک صفحه مخرب به عنوان Home Page یک پوشه Outlook، کد مخرب در هر بار باز شدن آن پوشه اجرا می‌شود.

T1137.006

Add-in‌هاAdd-ins

مهاجمان add-in‌های مخرب برای برنامه‌های Microsoft Office ایجاد می‌کنند تا پایداری ایجاد کنند. Add-in‌های Office مانند فایل‌های .dll، .xll، .wll و .xlam می‌توانند برای اجرای کد مخرب در هنگام راه‌اندازی Office استفاده شوند.

روش‌های شناسایی

نظارت بر تغییرات در template‌های Office. بررسی add-in‌های نصب شده. شناسایی ماکروهای مشکوک. تحلیل رجیستری Office برای ورودی‌های غیرعادی.

روش‌های مقابله

غیرفعال کردن ماکروها از منابع ناشناخته. نظارت بر add-in‌های Office. بررسی منظم template‌های Office. استفاده از Attack Surface Reduction Rules. پیاده‌سازی Application Whitelisting.