T1559-002-win-利用进程间通信执行-动态数据交换-OLE
来自ATT&CK的描述
攻击者可以使用Windows动态数据交换(DDE)执行任意命令。DDE是一种客户端-服务器协议,用于应用程序之间的一次性或连续的进程间通信(IPC)。建立链接后,应用程序可以自动处理由字符串,温数据链接(数据项更改时的通知),热数据链接(数据项更改的复制)以及命令执行请求组成的事务。
对象链接和嵌入(OLE)或在文档之间链接数据的功能最初是通过DDE实现的。尽管已被组件对象模型取代,但可以通过注册表项在Windows 10和大多数Microsoft Office 2016中启用DDE。
Microsoft Office文档可能会被直接或通过嵌入式文件的方式注入DDE命令,并被用于通过网络钓鱼或托管的Web内容投递恶意代码,从而避免使用Visual Basic for Applications(VBA)宏。在无法直接访问命令和脚本解释器的受感染计算机上,攻击者也可以利用DDE执行操作。
测试案例
Object Linking and Embedding,对象连接与嵌入,简称OLE技术。OLE 不仅是桌面应用程序集成,而且还定义和实现了一种允许应用程序作为软件“对象”(数据集合和操作数据的函数)彼此进行“连接”的机制,这种连接机制和协议称为组件对象模型(COM)。OLE可以用来创建复合文档,复合文档包含了创建于不同源应用程序,有着不同类型的数据,因此它可以把文字、声音、图像、表格、应用程序等组合在一起。
简单版本
创建文档并添加对象
在上面工具栏中找到“插入”,然后在插入中找到“对象”,对象类型为“Package”
将对象指定为生成的木马文件
首先要先将木马文件放置在临时目录,输入%temp%可以直接跳转。
“Package”这里选中,然后选择临时目录里存放的要捆绑的文件。
#### 将标卷修改为诱导名称
这里修改为click me,也可以根据实际需求进行修改
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
在OLE和Office开放的XML文件中扫描‘DDEAUTO’、‘DDE’关键字,这是DDE执行的标识。 监控进程是否存在指示DDE滥用的异常行为,例如Microsoft Office应用程序正在加载一些通常无关于程序的DLL和其它模块,或者这些应用程序创建了一些不寻常的子进程(如 cmd.exe)。
参考推荐
MITRE-ATT&CK-T1559-002