<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1137

          術語表: /attack/glossary

          Office 應用程序啟動

          Microsoft Office 是企業網絡中基于 Windows 操作系統的相當常見的應用程序套件。 在基于 Office 的應用程序啟動階段,可以利用 Office 的多種機制實現持久化。

          Office 模板宏

          Microsoft Office 包含一些模板,它們是常用 Office 應用程序的一部分,用于自定義樣式。 每次啟動應用程序時都會使用其對應的基本模板。

          Office Visual Basic for Applications (VBA) 宏 可以插入到基本模板中,并用于在各個 Office 應用程序啟動時執行代碼,以獲得持久性。 目前已經發現并公布了 Word 和 Excel 的相關例子。 Word 會默認創建 Normal.dotm 模板,可以更改它以包含惡意宏。 Excel 沒有默認創建的模板文件,但是可以添加自動加載的模板文件。

          Word Normal.dotm 位置:C:\Users(username)\AppData\Roaming\Microsoft\Templates\Normal.dotm

          Excel Personal.xlsb 位置:C:\Users(username)\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB

          攻擊者可能需要啟用宏以達到任意執行,這取決于系統或企業的關于使用宏的安全策略。

          Office 測試

          在該注冊表位置放入 DLL 引用時,每次啟動 Office 應用程序時都會執行二進制路徑指向的相應 DLL HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf

          插件

          可以使用 Office 插件程序向 Office 程序添加功能。

          加載項也可用于獲取持久性,因為可以將其設為在 Office 應用程序啟動時執行代碼。 各種 Office 產品可以使用不同類型的加載項;包括 Word/Excel 加載項 (WLL/XLL)、VBA 加載項、Office 組件對象模型 (COM) 加載項、自動化加載項、VBA 編輯器 (VBE) 和 Visual Studio 工具。

          緩解

          遵循適合您環境的 Office 宏安全的最佳實踐。 禁用 Office VBA 宏執行。 即使設置為禁用通知,也會使不知情的用戶執行潛在的惡意宏。

          對于 Office Test 方法,請創建用于執行它的注冊表項,并將權限設置為“Read Control”,以防止在沒有管理員權限或需要權限升級的情況下輕松訪問該項。

          禁用 Office 加載項。 如果它們是必需的,請遵循保障它們安全的最佳實踐,要求對其進行簽名,并禁用用戶通知以允許加載項。 對于某些加載項類型 (WLL, VBA),可能需要額外的緩解措施,因為在 Office 信任中心(Office Trust Center)禁用加載項時不會禁用 WLL,也不會阻止 VBA 代碼的執行。

          檢測

          許多與 Office 相關的持久化機制都需要更改注冊表以及將二進制文件、文件或腳本寫入磁盤或修改現有文件使其包含惡意腳本。 收集與注冊表項創建和修改相關的事件以查找可用于基于 Office 的持久化的項。 還應調查對基本模板(如 Normal.dotm)的修改,因為基本模板一般不包含 VBA 宏。 還應該調查對 Office 宏安全設置的更改。 監視和驗證文件系統上的 Office 受信任位置,并審核與啟用加載項相關的注冊表項。 非標準進程執行樹也可能表明可疑或惡意行為。收集進程執行信息,包括進程 id (PID) 和父進程 id (PPID),并查找由 Office 進程導致的異?;顒渔?。 如果 winword.exe 是與其他攻擊技術相關的可疑進程和活動的父進程,那么這可以表明該應用程序被惡意使用。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看