SOC Prime Bias: Kritisch

24 Nov 2025 09:15 UTC

NotDoor Einblicke: Tiefgründige Analyse von Outlook-Makros und darüber hinaus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
NotDoor Einblicke: Tiefgründige Analyse von Outlook-Makros und darüber hinaus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Dieser Artikel untersucht die NotDoor-Hintertür, die bösartige Outlook-VBA-Makros missbraucht, um Persistenz zu gewährleisten und Command-and-Control bereitzustellen. Die Nutzlast wird über DLL-Sideloading einer manipulierten SSPICLI.dll , die eine legitime OneDrive.exe Binärdatei nachahmt. Verschleierte PowerShell-Skripte verwalten die Datenexfiltration über Webhook-Dienste und ändern die Outlook-Registry-Einstellungen, um die Makroausführung zu erzwingen. Die Erkennungshinweise konzentrieren sich auf die Verfolgung verdächtiger Dateierstellung, DLL-Ladeaktivitäten, Registry-Änderungen und kodierte PowerShell-Befehle.

Analyse der NotDoor-Hintertür

Weiterführende Analysen zeigen, dass die gefälschte DLL ein temporäres Verzeichnis erstellt, eine Nutzlast in die Outlook VBAProject.OTM -Datei schreibt und Registrierungsschlüssel konfiguriert, um alle Makros zuzulassen. Anschließend werden base64-kodierte PowerShell-Anweisungen ausgeführt, die DNS- und HTTP-Callbacks an webhook.site and dnshook.siteausgeben. Registry-Änderungen umfassen das Aktivieren von LoadMacroProviderOnBoot, das Senken des Sicherheitsniveaus in Outlook und das Ändern von PONT_STRING , um Sicherheitshinweise zu unterdrücken.

Minderung

Wichtige Maßnahmen zur Minderung umfassen die Begrenzung von DLL-Sideloading-Möglichkeiten, die Durchsetzung von Codesignaturanforderungen für ausführbare Dateien, die Überwachung der Erstellung von VBAProject.OTM durch keine Outlook-Prozesse und das Blockieren ausgehender Verbindungen zu den identifizierten Webhook-Domains. Zusätzlich können Teams Prinzipien des geringsten Privilegs auf Registrierungsmeldungen anwenden und das automatische Laden von Makros deaktivieren, wo immer es möglich ist.

Reaktion

Wird eine NotDoor-Aktivität erkannt, isolieren Sie den kompromittierten Endpunkt, erfassen Sie die bösartige DLL und zugehörige Nutzlasten und führen Sie eine forensische Überprüfung von Registrierungseinträgen und Netzwerkspuren durch. Blockieren Sie zugehörige Domains und IPs, starten Sie eine umfassendere Untersuchung ähnlicher DLL-Sideloading-Verhaltensweisen, setzen Sie die Outlook-Makro-Richtlinien zurück und stellen Sie sicher, dass die Sicherheitseinstellungen aller Benutzer wieder gehärtet sind.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffsaufriss & Befehle:
    Ein Angreifer, der Benutzerrechte auf der Opfermaschine erlangt hat, setzt die NotDoor-Malware ein. Das Ziel der Malware ist es, sicherzustellen, dass Outlook beim Systemstart automatisch ein bösartiges Makro lädt, Sicherheitswarnungen deaktiviert und Dialog-Popups unterdrückt. Um dies zu erreichen, schreibt der Angreifer drei spezifische Registry-Werte in den Outlook-Zweig:

    1. LoadMacroProviderOnBoot gesetzt auf 1 unter HKCUSoftwareMicrosoftOutlook – zwingt Outlook dazu, den Makro-Provider bei jedem Start zu laden.
    2. Level gesetzt auf 1 unter HKCUSoftwareMicrosoftOutlookSecurity – senkt das Makro-Sicherheitsniveau.
    3. PONT_STRING gesetzt auf eine bösartige CLSID unter HKCUSoftwareMicrosoftOutlookOptionsGeneral – weist Outlook auf die bösartige Makro-DLL hin.

    Diese Schreibaktionen erzeugen Registrierungsänderungsevents, die Auswahl1 and (Auswahl2 or Auswahl3) in der Sigma-Regel erfüllen und dadurch den Alarm auslösen.

  • Regressionstestskript:

    # NotDoor Registrierungnsänderungssimulation – PowerShell
    function Set-NotDoorOutlookRegistry {
        # 1. Aktivieren des Makro-Providers beim Start
        New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlook" `
            -Name "LoadMacroProviderOnBoot" -Value 1 -PropertyType DWORD -Force
    
        # 2. Sicherheitswarnstufe senken
        New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookSecurity" `
            -Name "Level" -Value 1 -PropertyType DWORD -Force
    
        # 3. Auf bösartiges Makro zeigen (simulierte CLSID)
        $maliciousClsid = "{12345678-1234-1234-1234-123456789ABC}"
        New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookOptionsGeneral" `
            -Name "PONT_STRING" -Value $maliciousClsid -PropertyType String -Force
    }
    
    # Simulierten Angriff ausführen
    Set-NotDoorOutlookRegistry
  • Bereinigungsbefehle:

    # Entfernen der simulierten NotDoor-Registrierungsänderungen
    Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlook" `
        -Name "LoadMacroProviderOnBoot" -ErrorAction SilentlyContinue
    
    Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookSecurity" `
        -Name "Level" -ErrorAction SilentlyContinue
    
    Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookOptionsGeneral" `
        -Name "PONT_STRING" -ErrorAction SilentlyContinue