MS Office 宏安全注册表修改

编辑

MS Office 宏安全注册表修改编辑

Microsoft Office 产品为用户和开发人员提供了控制运行和使用宏的安全设置的选项。攻击者可能会滥用这些安全设置来修改 Office 应用程序的默认行为，以信任未来的宏和/或禁用安全警告，这可能会增加他们建立持久性的机会。

规则类型：eql

规则索引:

winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*

严重性：中等

风险评分: 47

运行间隔：5 分钟

搜索的索引范围：now-9m（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
资源：调查指南
数据源：Elastic Endgame
数据源：Sysmon

版本: 107

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

调查 MS Office 宏安全注册表修改

宏是用于在 Microsoft Office 应用程序中自动执行重复性任务的小程序。历史上，宏已被用于各种原因——从自动化部分工作到构建完整的流程和数据流。宏是用 Visual Basic for Applications (VBA) 编写的，并作为 Microsoft Office 文件的一部分保存。

创建宏通常是出于合法原因，但它们也可能由攻击者编写，以获取访问权限、损害系统或绕过其他安全控制（如应用程序允许列表）。事实上，恶意宏的利用是当今组织遭到入侵的首要方式之一。这些攻击通常是通过网络钓鱼或鱼叉式网络钓鱼活动进行的。

攻击者可以说服受害者修改 Microsoft Office 安全设置，以便默认情况下信任他们的宏，并且在执行宏时不会显示警告。这些设置包括：

信任对 VBA 项目对象模型的访问 - 启用后，Microsoft Office 将信任所有宏并在不显示安全警告或需要用户权限的情况下运行任何代码。
VbaWarnings - 设置为 1 时，Microsoft Office 将信任所有宏并在不显示安全警告或需要用户权限的情况下运行任何代码。

此规则查找影响上述条件的注册表更改。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件的流行程度、它们是否位于预期位置以及它们是否使用有效的数字签名进行签名。
确定执行该操作的用户帐户，以及该帐户是否应该执行此类操作。
联系用户并检查更改是否为手动完成。
验证在注册表更改后是否执行了恶意宏。
调查在过去 48 小时内与用户/主机相关的其他警报。
检索最近执行的 Office 文档并确定它们是否为恶意文档
使用私有沙盒恶意软件分析系统执行分析。
观察并收集有关以下活动的信息
尝试联系外部域和地址。
文件和注册表访问、修改和创建活动。
服务创建和启动活动。
计划任务创建。
使用 PowerShell Get-FileHash cmdlet 获取文件的 SHA-256 哈希值。
在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希值的存在和信誉。

误报分析

此活动不应合法发生。安全团队应解决任何潜在的良性真阳性 (B-TP)，因为此配置可能会使用户和域面临风险。

响应和修复

根据分类结果启动事件响应流程。
重置注册表项值。
隔离涉及的主机以防止进一步的入侵后行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。重置这些帐户和其他可能受损凭据的密码，例如电子邮件、业务系统和 Web 服务。
探索使用 GPO 管理 Microsoft Office 宏的安全设置。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取措施防止通过同一载体再次感染。
使用事件响应数据，更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 Elastic 代理索引（例如 Beats）上为 8.2 之前的版本启用 EQL 规则，则事件不会定义 event.ingested，并且在 8.2 版本之前不会添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

registry where host.os.type == "windows" and event.type == "change" and
    registry.path : (
        "HKU\\S-1-5-21-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\AccessVBOM",
        "HKU\\S-1-5-21-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\VbaWarnings",
        "HKU\\S-1-12-1-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\AccessVBOM",
        "HKU\\S-1-12-1-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\VbaWarnings",
        "\\REGISTRY\\USER\\S-1-5-21-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\AccessVBOM",
        "\\REGISTRY\\USER\\S-1-5-21-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\VbaWarnings",
        "\\REGISTRY\\USER\\S-1-12-1-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\AccessVBOM",
        "\\REGISTRY\\USER\\S-1-12-1-*\\SOFTWARE\\Microsoft\\Office\\*\\Security\\VbaWarnings"
        ) and
    registry.data.strings : ("0x00000001", "1") and
    process.name : ("cscript.exe", "wscript.exe", "mshta.exe", "mshta.exe", "winword.exe", "excel.exe")

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考 URL：https://attack.mitre.org/techniques/T1112/
战术
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：用户执行
- ID：T1204
- 参考 URL：https://attack.mitre.org/techniques/T1204/
子技术
- 名称：恶意文件
- ID：T1204.002
- 参考 URL：https://attack.mitre.org/techniques/T1204/002/

« Google Workspace 组织禁用了 MFA MacOS 安装程序包生成网络事件 »