SOC Prime Bias: Crítico

24 Nov 2025 09:15 UTC

NotDoor Insights: Uma Análise Detalhada de Macros do Outlook e Além

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
NotDoor Insights: Uma Análise Detalhada de Macros do Outlook e Além
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Este artigo examina o backdoor NotDoor, que abusa de macros maliciosas do Outlook VBA para manter persistência e fornecer comando e controle. O payload é entregue via DLL sideloading de um SSPICLI.dll que se disfarça como um legítimo OneDrive.exe binário. Scripts PowerShell ofuscados manipulam a exfiltração de dados via serviços de webhook e ajustam configurações do registro do Outlook para forçar a execução de macros. A orientação de detecção foca no rastreamento da criação de arquivos suspeitos, atividade de carregamento de DLL, alterações no registro e comandos PowerShell codificados.

Análise do Backdoor NotDoor

Análises adicionais revelam que a DLL fraudulenta cria um diretório temporário, escreve um payload no arquivo VBAProject.OTM do Outlook e configura chaves de registro para permitir todas as macros. Então, executa instruções PowerShell codificadas em base64 que emitem callbacks de DNS e HTTP para webhook.site and dnshook.site. As alterações no registro incluem habilitar LoadMacroProviderOnBoot, diminuir o nível de segurança do Outlook e modificar PONT_STRING para suprimir prompts de segurança.

Mitigação

As principais mitigações incluem limitar as oportunidades de DLL sideloading, impor requisitos de assinatura de código para executáveis, monitorar a criação de VBAProject.OTM por processos não-Outlook, e bloquear conexões de saída para os domínios de webhook identificados. Além disso, equipes podem aplicar princípios de privilégio mínimo a modificações de registro e desativar o carregamento automático de macros sempre que possível.

Resposta

Quando atividade NotDoor é detectada, isole o endpoint comprometido, adquira a DLL maliciosa e cargas associadas, e realize uma revisão forense das edições de registro e traços de rede. Bloqueie domínios e IPs associados, inicie uma busca mais ampla por comportamentos similares de DLL sideloading, redefina políticas de macro do Outlook e verifique se as configurações de segurança de todos os usuários foram endurecidas novamente.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um invasor que obteve execução em nível de usuário na máquina da vítima implanta o malware NotDoor. O objetivo do malware é garantir que o Outlook carregue automaticamente uma macro maliciosa na inicialização do sistema, desative avisos de segurança e suprimir diálogos pop-up. Para conseguir isso, o invasor escreve três valores de registro específicos sob a chave do Outlook:

    1. LoadMacroProviderOnBoot definido para 1 em HKCUSoftwareMicrosoftOutlook – força o Outlook a carregar o provedor de macros a cada inicialização.
    2. Nível definido para 1 em HKCUSoftwareMicrosoftOutlookSecurity – diminui o nível de segurança das macros.
    3. PONT_STRING definido para um CLSID malicioso em HKCUSoftwareMicrosoftOutlookOptionsGeneral – aponta o Outlook para a DLL de macro maliciosa.

    Essas gravações geram eventos de Mudança de Registro que satisfazem seleção1 and (seleção2 or seleção3) na regra Sigma, causando o disparo do alerta.

  • Script de Teste de Regressão:

    # Simulação de modificação de registro NotDoor – PowerShell
    function Set-NotDoorOutlookRegistry {
        # 1. Habilitar provedor de macro na inicialização
        New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlook" `
            -Name "LoadMacroProviderOnBoot" -Value 1 -PropertyType DWORD -Force
    
        # 2. Diminuir nível de aviso de segurança
        New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookSecurity" `
            -Name "Level" -Value 1 -PropertyType DWORD -Force
    
        # 3. Apontar para macro maliciosa (simulado CLSID)
        $maliciousClsid = "{12345678-1234-1234-1234-123456789ABC}"
        New-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookOptionsGeneral" `
            -Name "PONT_STRING" -Value $maliciousClsid -PropertyType String -Force
    }
    
    # Executar o ataque simulado
    Set-NotDoorOutlookRegistry
  • Comandos de Limpeza:

    # Remover as modificações de registro simuladas do NotDoor
    Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlook" `
        -Name "LoadMacroProviderOnBoot" -ErrorAction SilentlyContinue
    
    Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookSecurity" `
        -Name "Level" -ErrorAction SilentlyContinue
    
    Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftOutlookOptionsGeneral" `
        -Name "PONT_STRING" -ErrorAction SilentlyContinue