Conteúdo de Detecção: Encontrando DLLs Carregadas Pelo MS Office

Não é segredo que os ataques de phishing são uma das formas mais eficazes de infectar o alvo com malware. Normalmente, os adversários esperam convencer um usuário a abrir um documento malicioso e habilitar macros ou explorar vulnerabilidades no MS Office para implantar malware. Publicamos regularmente regras (1, 2, 3) para detectar campanhas de phishing ou malware que eles distribuem. E hoje queremos mostrar a você conteúdo que pode detectar um ataque no momento em que o usuário enganado clica no botão Habilitar Edição: https://tdm.socprime.com/tdm/info/uNiMpOIzBWK2/sIQ4znIBPeJ4_8xcPjty/?p=1#

A nova regra do Team SOC Prime possibilita a detecção de DLLs COM carregadas através de produtos MS Office. Isso permitirá que você identifique uma parte dos ataques à organização em que os invasores utilizam indevidamente DLLs COM para instalar malware. Elas podem ser mal utilizadas por um script que usa COM para gerar um Macro do Excel para carregar Shellcode via JScript (para detectar tais ataques, você precisa de logs de sysmon).

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Movimento Lateral, Execução

Técnicas: Modelo de Objeto de Componente e COM Distribuído (T1175)