Add-ins Malevoli: Office Application Add-ins (T1137.006)

La creazione di un add-in malevolo inizia con lo sviluppo di una DLL che implementa le interfacce COM richieste da Office. Per Word, il percorso più semplice è creare un file WLL che verrà caricato automaticamente dalla cartella Startup.

Prima di tutto, identifica le directory di startup delle applicazioni Office. Su Windows, esegui: dir "%APPDATA%\Microsoft\Word\STARTUP" /s dir "%APPDATA%\Microsoft\Excel\XLSTART" /s

Per creare un add-in COM persistente, registra la DLL nel registro. Il comando seguente aggiunge l'add-in al registro di Word: reg add "HKCU\Software\Microsoft\Office\Word\Addins\MyAddin" /v LoadBehavior /t REG_DWORD /d 3 reg add "HKCU\Software\Microsoft\Office\Word\Addins\MyAddin" /v FriendlyName /t REG_SZ /d "Document Helper"

Il valore LoadBehavior 3 indica che l'add-in deve essere caricato all'avvio e rimanere attivo. Altri valori comuni includono 0 (disabilitato), 1 (caricamento manuale) e 2 (caricamento all'avvio ma poi disabilitato).

Per Outlook, la persistenza può essere ottenuta attraverso add-in VSTO. Crea un manifest XML che punta alla tua DLL malevola e posizionalo in: copy malicious.vsto "%APPDATA%\Microsoft\AddIns"

Un approccio alternativo sfrutta le macro AutoExec nei template globali. Copia il tuo template malevolo dotm nella directory di avvio: copy evil_template.dotm "%APPDATA%\Microsoft\Word\STARTUP\Normal.dotm"

Per testare l'esecuzione senza aprire Office manualmente, usa COM automation: powershell -c "$word = New-Object -ComObject Word.Application; $word.Visible = $false; Start-Sleep -Seconds 5; $word.Quit()"

Il rilevamento degli add-in malevoli richiede monitoraggio su più fronti. La prima linea di difesa consiste nel tracciare le modifiche alle directory di startup di Office e alle chiavi di registro correlate.

Configura Sysmon per catturare eventi di creazione file nelle directory sensibili. L'EventID 11 di Sysmon dovrebbe triggherare alert per file con estensioni .wll, .xll, .vsto creati in %APPDATA%\Microsoft\Word\STARTUP o %APPDATA%\Microsoft\Excel\XLSTART.

Monitora attentamente i processi figli anomali generati da applicazioni Office. Un processo winword.exe che spawna powershell.exe, cmd.exe o mshta.exe rappresenta un forte indicatore di compromissione. Questi comportamenti sono catturabili attraverso l'EventID 1 di Sysmon con filtri sulla relazione parent-child.

Le modifiche al registro richiedono particolare attenzione. Traccia le creazioni e modifiche alle chiavi: HKCU\Software\Microsoft\Office[App]\Addins
HKLM\Software\Microsoft\Office[App]\Addins\

Il valore LoadBehavior superiore a 0 indica un add-in attivo. Un valore di 3 o 16 suggerisce caricamento automatico all'avvio, mentre valori anomali come 35 potrebbero indicare tentativi di bypass delle policy di sicurezza.

Per ridurre i falsi positivi, correlate gli eventi di creazione add-in con l'attività di rete successiva. Un add-in legittimo raramente genera connessioni verso IP esterni immediatamente dopo il caricamento. Implementa una finestra di correlazione di 5-10 minuti tra l'evento di caricamento add-in e le connessioni di rete anomale.

L'analisi forense degli add-in malevoli inizia dall'identificazione dei file sospetti nelle directory di persistenza. Su sistemi Windows, esamina attentamente le seguenti location: %APPDATA%\Microsoft\Word\STARTUP
%APPDATA%\Microsoft\Excel\XLSTART
%APPDATA%\Microsoft\AddIns\

I timestamp MACB (Modified, Accessed, Created, Born) di questi file forniscono indicazioni cruciali sul momento dell'infezione iniziale. Confronta questi timestamp con l'ultimo accesso legittimo dell'utente per identificare finestre temporali sospette.

Il registro di Windows conserva tracce dettagliate degli add-in installati. Le chiavi sotto HKCU\Software\Microsoft\Office contengono non solo i riferimenti agli add-in, ma anche timestamp di ultima modifica recuperabili attraverso l'analisi del file NTUSER.DAT.

I log di Office, quando abilitati, registrano il caricamento degli add-in. Nel registro eventi di Windows, cerca sotto Applications and Services Logs\Microsoft Office Alerts per eventi relativi al caricamento di componenti non firmati o errori di caricamento add-in.

La memoria volatile può contenere artefatti preziosi. Se disponibile un dump della memoria, cerca stringhe che indicano percorsi di add-in o nomi di funzioni exported dalle DLL malevole. Tools come Volatility permettono di estrarre le DLL caricate dai processi Office e confrontarle con hash noti di add-in malevoli.

Per ricostruire l'attività post-compromissione, analizza i Prefetch files di Windows. File .pf relativi a processi spawned da Office (come POWERSHELL.EXE-[HASH].pf con riferimenti a WINWORD.EXE) indicano l'esecuzione di comandi attraverso l'add-in malevolo.

Il gruppo Naikon rappresenta l'esempio più documentato di utilizzo sistematico degli add-in Office per mantenere la persistenza. Questo APT ha dimostrato particolare sofisticazione nell'uso del builder RoyalRoad per generare documenti weaponized che installano file intel.wll nella cartella Word Startup.

L'analisi del malware Bisonal rivela pattern operativi ricorrenti: il payload viene distribuito con estensione .wll e posizionato specificamente in %APPDATA%\microsoft\word\startup. Questa scelta non è casuale - la directory startup garantisce esecuzione automatica senza richiedere modifiche al registro.

LunarMail e LunarLoader rappresentano l'evoluzione della tecnica verso Outlook. Entrambi i malware sfruttano gli add-in di Outlook per ottenere persistenza, suggerendo uno shift tattico verso il targeting delle comunicazioni aziendali piuttosto che dei documenti.

Il pattern geografico mostra una concentrazione di questi attacchi in contesti di spionaggio industriale e governativo nel Sud-Est asiatico. La scelta di Office add-ins suggerisce targeting di organizzazioni con deployment Office estesi e policy di sicurezza potenzialmente permissive.

L'overlap negli strumenti utilizzati indica possibili connessioni operative o condivisione di TTP tra diversi gruppi. Il builder RoyalRoad, in particolare, appare come elemento comune in multiple campagne, suggerendo un ecosistema di tool sharing nell'underground criminale.

Le tendenze future probabilmente includeranno l'espansione verso add-in per le versioni cloud di Office e l'abuso di add-in firmati digitalmente per bypassare controlli di sicurezza sempre più stringenti.

Framework MITRE ATT&CK T1137.006. Documentazione delle campagne del gruppo APT Naikon e analisi dei malware Bisonal, LunarMail e LunarLoader. Microsoft Security documentation su Attack Surface Reduction rules e Office add-in security model.