Contenido de Detección: Encontrando DLLs Cargadas a Través de MS Office

No es ningún secreto que los ataques de phishing son una de las formas más efectivas de infectar el objetivo con malware. Normalmente, los adversarios esperan convencer a un usuario de abrir un documento malicioso y habilitar macros o usar vulnerabilidades en MS Office para desplegar malware. Publicamos regularmente reglas (1, 2, 3) para detectar campañas de phishing o malware que distribuyen. Y hoy queremos mostrarte contenido que puede detectar un ataque en el momento en que el usuario engañado hace clic en el botón de Habilitar edición: https://tdm.socprime.com/tdm/info/uNiMpOIzBWK2/sIQ4znIBPeJ4_8xcPjty/?p=1#

La nueva regla del equipo de SOC Prime permite la detección de COM DLLs cargados a través de productos de MS Office. Esto te permitirá identificar parte de los ataques a la organización en los que los atacantes abusan de COM DLLs para desplegar malware. Pueden ser abusados por un script que usa COM para generar un Macro de Excel para cargar Shellcode a través de JScript (para detectar tales ataques necesitas registros sysmon).

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Movimiento lateral, Ejecución

Técnicas: Modelo de Objeto Componente y COM Distribuido (T1175)