NotDoor Einblicke: Tiefgründige Analyse von Outlook-Makros und darüber hinaus
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Dieser Artikel untersucht die NotDoor-Hintertür, die bösartige Outlook-VBA-Makros missbraucht, um Persistenz zu gewährleisten und Command-and-Control bereitzustellen. Die Nutzlast wird über DLL-Sideloading einer manipulierten SSPICLI.dll , die eine legitime OneDrive.exe Binärdatei nachahmt. Verschleierte PowerShell-Skripte verwalten die Datenexfiltration über Webhook-Dienste und ändern die Outlook-Registry-Einstellungen, um die Makroausführung zu erzwingen. Die Erkennungshinweise konzentrieren sich auf die Verfolgung verdächtiger Dateierstellung, DLL-Ladeaktivitäten, Registry-Änderungen und kodierte PowerShell-Befehle.
Analyse der NotDoor-Hintertür
Weiterführende Analysen zeigen, dass die gefälschte DLL ein temporäres Verzeichnis erstellt, eine Nutzlast in die Outlook VBAProject.OTM -Datei schreibt und Registrierungsschlüssel konfiguriert, um alle Makros zuzulassen. Anschließend werden base64-kodierte PowerShell-Anweisungen ausgeführt, die DNS- und HTTP-Callbacks an webhook.site and dnshook.siteausgeben. Registry-Änderungen umfassen das Aktivieren von LoadMacroProviderOnBoot, das Senken des Sicherheitsniveaus in Outlook und das Ändern von PONT_STRING , um Sicherheitshinweise zu unterdrücken.
Minderung
Wichtige Maßnahmen zur Minderung umfassen die Begrenzung von DLL-Sideloading-Möglichkeiten, die Durchsetzung von Codesignaturanforderungen für ausführbare Dateien, die Überwachung der Erstellung von VBAProject.OTM durch keine Outlook-Prozesse und das Blockieren ausgehender Verbindungen zu den identifizierten Webhook-Domains. Zusätzlich können Teams Prinzipien des geringsten Privilegs auf Registrierungsmeldungen anwenden und das automatische Laden von Makros deaktivieren, wo immer es möglich ist.
Reaktion
Wird eine NotDoor-Aktivität erkannt, isolieren Sie den kompromittierten Endpunkt, erfassen Sie die bösartige DLL und zugehörige Nutzlasten und führen Sie eine forensische Überprüfung von Registrierungseinträgen und Netzwerkspuren durch. Blockieren Sie zugehörige Domains und IPs, starten Sie eine umfassendere Untersuchung ähnlicher DLL-Sideloading-Verhaltensweisen, setzen Sie die Outlook-Makro-Richtlinien zurück und stellen Sie sicher, dass die Sicherheitseinstellungen aller Benutzer wieder gehärtet sind.
Angriffsfluss
Erkennungen
Erkennung von bösartigen Registrierungsmeldungen durch NotDoor-Malware [Windows-Registrierungsereignis]
Anzeigen
Ausführung von kodierten Powershell-Befehlen [Windows Powershell]
Anzeigen
IOCs (HashSha256) zur Erkennung: NotDoor Insights: Ein näherer Blick auf Outlook-Makros und mehr
Anzeigen
Outlook über mailbasierte Persistenz (via file_event)
Anzeigen
Möglicher Missbrauch von Outlook / Sicherheitsabstufung (via registry_event)
Anzeigen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsaufriss & Befehle:
Ein Angreifer, der Benutzerrechte auf der Opfermaschine erlangt hat, setzt die NotDoor-Malware ein. Das Ziel der Malware ist es, sicherzustellen, dass Outlook beim Systemstart automatisch ein bösartiges Makro lädt, Sicherheitswarnungen deaktiviert und Dialog-Popups unterdrückt. Um dies zu erreichen, schreibt der Angreifer drei spezifische Registry-Werte in den Outlook-Zweig:LoadMacroProviderOnBootgesetzt auf1unterHKCUSoftwareMicrosoftOutlook– zwingt Outlook dazu, den Makro-Provider bei jedem Start zu laden.Levelgesetzt auf1unterHKCUSoftwareMicrosoftOutlookSecurity– senkt das Makro-Sicherheitsniveau.PONT_STRINGgesetzt auf eine bösartige CLSID unterHKCUSoftwareMicrosoftOutlookOptionsGeneral– weist Outlook auf die bösartige Makro-DLL hin.
Diese Schreibaktionen erzeugen Registrierungsänderungsevents, die
Auswahl1and (Auswahl2orAuswahl3) in der Sigma-Regel erfüllen und dadurch den Alarm auslösen. -
Regressionstestskript:
# NotDoor Registrierungnsänderungssimulation – PowerShell function Set-NotDoorOutlookRegistry { # 1. Aktivieren des Makro-Providers beim Start New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlook" ` -Name "LoadMacroProviderOnBoot" -Value 1 -PropertyType DWORD -Force # 2. Sicherheitswarnstufe senken New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookSecurity" ` -Name "Level" -Value 1 -PropertyType DWORD -Force # 3. Auf bösartiges Makro zeigen (simulierte CLSID) $maliciousClsid = "{12345678-1234-1234-1234-123456789ABC}" New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookOptionsGeneral" ` -Name "PONT_STRING" -Value $maliciousClsid -PropertyType String -Force } # Simulierten Angriff ausführen Set-NotDoorOutlookRegistry -
Bereinigungsbefehle:
# Entfernen der simulierten NotDoor-Registrierungsänderungen Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlook" ` -Name "LoadMacroProviderOnBoot" -ErrorAction SilentlyContinue Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookSecurity" ` -Name "Level" -ErrorAction SilentlyContinue Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookOptionsGeneral" ` -Name "PONT_STRING" -ErrorAction SilentlyContinue