T1221-win-模板注入

来自ATT&CK的描述

攻击者可能会在Office文档模板中创建或修改引用，以隐藏恶意代码或强制进行身份验证尝试。Microsoft的Office Open XML(OOXML)规范为Office文档（.docx、xlsx、.pptx）定义了一种基于XML的格式，以替换旧的二进制格式（.doc、.xls、.ppt）。OOXML文件打包在一起ZIP档案，其中包含各种XML文件（称为部分），包含共同定义文档呈现方式的属性。

部件中的属性可以引用通过在线URL访问的共享公共资源。例如，模板属性引用一个文件，作为预先格式化的文档蓝图，在加载文档时获取该文件。

攻击者可能会滥用这一技术，通过文档执行隐藏最初的恶意代码。注入文档的模板参考可能使恶意的有效载荷在文档被加载时被获取和执行。这些文件可以通过其他技术传递，如钓鱼或污点共享内容，并可能逃避静态检测，因为没有典型的指标（VBA宏，脚本等）存在，直到恶意的有效载荷被获取。 在野外看到的例子中，模板注入被用来加载含有漏洞的恶意代码。

这种技术也可以通过注入一个SMB/HTTPS（或其他凭证提示）URL并触发认证尝试来实现强制认证。

测试案例

测试1 WIN WORD远程模板注入

打开一个.docx文件，从https://github.com/redcanaryco/atomic-red-team/tree/master/atomics/T1221/src/opencalc.dotm加载一个远程.dotm宏功能模板，执行.dotm模板内指定的代码。需要下载在微软Ofiice中发现的WINWORD，网址是：https://www.microsoft.com/en-us/download/office.aspx。当测试成功执行时，默认的docs文件打开Calculator.exe，同时关闭AV。

攻击命令，使用Windows命令提示符执行：

start #{docx_file}

检测日志

无

测试复现

暂无，测试环境，未安装office套装

测试留痕

无

检测规则/思路

建议

分析进程行为，以确定Office应用程序是否正在执行一些恶意行为，如打开网络连接、读取文件、生成可疑的子进程（例如：PowerShell），或其他可能与入侵后行为有关的可疑行动。

关于由Office应用程序产生的可疑进程行为检测规则，你可以参考：T1566-001-win-可疑的MS Office子进程

参考推荐

MITRE-ATT&CK-T1221

https://attack.mitre.org/techniques/T1221

Atomic-red-team-T1221

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1221/T1221.md