Contenu de Détection : Trouver les DLL Chargées via MS Office

Ce n’est un secret pour personne que les attaques de phishing sont l’un des moyens les plus efficaces pour infecter la cible avec des logiciels malveillants. En général, les adversaires espèrent convaincre un utilisateur d’ouvrir un document malveillant et d’activer les macros ou d’utiliser des vulnérabilités dans MS Office pour déployer des logiciels malveillants. Nous publions régulièrement des règles (1, 2, 3) pour détecter les campagnes de phishing ou les logiciels malveillants qu’ils distribuent. Et aujourd’hui, nous voulons vous montrer un contenu capable de détecter une attaque au moment où l’utilisateur trompé clique sur le bouton Activer la modification : https://tdm.socprime.com/tdm/info/uNiMpOIzBWK2/sIQ4znIBPeJ4_8xcPjty/?p=1#

La nouvelle règle de l’équipe SOC Prime permet la détection des DLL COM chargées via les produits MS Office. Cela vous permettra d’identifier une partie des attaques sur l’organisation dans lesquelles les attaquants détournent des DLL COM pour déposer des logiciels malveillants. Ils peuvent être détournés par un script qui utilise COM pour générer une macro Excel pour charger Shellcode via JScript (pour détecter de telles attaques, vous avez besoin de journaux sysmon).

La règle dispose de traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Mouvement latéral, Exécution

Techniques : Component Object Model et COM distribué (T1175)