ماکروهای قالب Office
Office Template Macrosتوضیحات
مهاجمان کد مخرب را در قالبهای Microsoft Office جاسازی میکنند تا در هنگام باز شدن برنامههای Office اجرا شود. قالبهای Normal.dotm در Word و Personal.xlsb در Excel اهداف رایج هستند. این تکنیک به مهاجمان اجازه میدهد ماکروهای مخرب را در هر سند جدید اجرا کنند.
روشهای شناسایی
نظارت بر تغییرات قالبهای Office. بررسی Normal.dotm و Personal.xlsb. شناسایی ماکروهای مشکوک در قالبها. تحلیل فعالیت VBA.
روشهای مقابله
نظارت بر قالبهای Office. غیرفعال کردن ماکروها از منابع ناشناخته. بررسی منظم قالبهای Office. استفاده از Attack Surface Reduction Rules. پیادهسازی Application Whitelisting.
تکنیک اصلی
راهاندازی برنامه Office
مهاجمان از مکانیزمهای راهاندازی برنامههای Microsoft Office برای پایداری سوءاستفاده میکنند. این تکنیک شامل سوءاستفاده از templateهای Office، add-inها، فرمهای Outlook و سایر مکانیزمهای startup Office میشود. کد مخرب در هنگام باز شدن برنامههای Office اجرا میشود.
سایر زیرتکنیکها (3)