T1137.006
Add-inها
Add-insتوضیحات
مهاجمان add-inهای مخرب برای برنامههای Microsoft Office ایجاد میکنند تا پایداری ایجاد کنند. Add-inهای Office مانند فایلهای .dll، .xll، .wll و .xlam میتوانند برای اجرای کد مخرب در هنگام راهاندازی Office استفاده شوند.
روشهای شناسایی
نظارت بر نصب add-inهای Office. بررسی add-inهای فعال. شناسایی add-inهای با مسیرهای مشکوک. تحلیل رفتار add-inها.
روشهای مقابله
نظارت بر add-inهای Office. محدود کردن نصب add-in. استفاده از Group Policy. بررسی منظم add-inهای نصب شده. پیادهسازی Application Whitelisting.
تکنیک اصلی
T1137Office Application Startup
راهاندازی برنامه Office
مهاجمان از مکانیزمهای راهاندازی برنامههای Microsoft Office برای پایداری سوءاستفاده میکنند. این تکنیک شامل سوءاستفاده از templateهای Office، add-inها، فرمهای Outlook و سایر مکانیزمهای startup Office میشود. کد مخرب در هنگام باز شدن برنامههای Office اجرا میشود.