T1137.002

تست Office

Office Test

توضیحات

مهاجمان از کلید رجیستری Office Test برای اجرای DLL مخرب در هنگام راه‌اندازی برنامه‌های Office سوءاستفاده می‌کنند. با اضافه کردن مسیر DLL مخرب به کلید رجیستری HKCU\Software\Microsoft\Office test\Special\Perf، کد مخرب در هر بار باز شدن Office اجرا می‌شود.

روش‌های شناسایی

نظارت بر کلید رجیستری Office Test. بررسی DLL‌های ثبت شده در Office Test. شناسایی تغییرات مشکوک در رجیستری Office. تحلیل DLL‌های بارگذاری شده توسط Office.

روش‌های مقابله

نظارت بر رجیستری Office Test. محدود کردن دسترسی به رجیستری Office. بررسی منظم کلیدهای رجیستری Office. استفاده از Application Whitelisting. پیاده‌سازی حداقل سطح دسترسی.

تکنیک اصلی

T1137Office Application Startup

راه‌اندازی برنامه Office

مهاجمان از مکانیزم‌های راه‌اندازی برنامه‌های Microsoft Office برای پایداری سوءاستفاده می‌کنند. این تکنیک شامل سوءاستفاده از template‌های Office، add-in‌ها، فرم‌های Outlook و سایر مکانیزم‌های startup Office می‌شود. کد مخرب در هنگام باز شدن برنامه‌های Office اجرا می‌شود.

سایر زیرتکنیک‌ها (3)

T1137.001 · ماکروهای قالب Office T1137.004 · صفحه اصلی Outlook T1137.006 · Add-in‌ها