Add-in Office Malevoli: Add-ins (T1137.006)

La simulazione di questa tecnica in laboratorio richiede di comprendere i due vettori principali: il deposito di un file add-in in una directory trusted e la registrazione via registry.

Vettore WLL — Word Startup Folder

Il caso più documentato è quello usato da Naikon con il builder RoyalRoad: un file .wll viene scritto nella cartella di avvio automatico di Word. In laboratorio, prepara una DLL di test (un semplice payload che scrive un log su disco) e rinominala con estensione .wll. Il percorso target è:

copy payload.dll "%APPDATA%\Microsoft\Word\STARTUP\test.wll"

Al successivo avvio di winword.exe, Word caricherà la libreria come add-in. Per Excel il vettore analogo usa file .xll nella directory XLSTART:

copy payload.dll "%APPDATA%\Microsoft\Excel\XLSTART\test.xll"

Verifica il caricamento osservando i moduli caricati dal processo Office con Process Explorer (Sysinternals, gratuito) oppure con un semplice:

tasklist /m /fi "imagename eq WINWORD.EXE"

Vettore COM — Registrazione via Registry

Per simulare un add-in COM persistente, crea una chiave sotto il ramo di registro specifico dell'applicazione Office. La chiave varia per versione, ma il pattern è:

reg add "HKCU\Software\Microsoft\Office\16.0\Word\Addins\TestAddin" /v LoadBehavior /t REG_DWORD /d 3 /f

Il valore LoadBehavior a 3 indica caricamento automatico all'avvio. In un engagement reale va abbinato a una DLL COM registrata, ma per il test basta verificare che la chiave compaia e che Word tenti il caricamento (generando un errore visibile nei log applicativi).

Vettore Outlook — Add-in di Posta

Il malware LunarMail e il loader LunarLoader dimostrano l'efficacia degli add-in Outlook. Per simulare questo scenario puoi usare il framework OutlookEnum di TrustedSec oppure creare un progetto VSTO minimo con Visual Studio. L'add-in compilato (.vsto) si registra nel profilo utente e viene caricato ad ogni avvio di Outlook.

Per il cleanup, rimuovi i file depositati e le chiavi di registro create:

reg delete "HKCU\Software\Microsoft\Office\16.0\Word\Addins\TestAddin" /f del "%APPDATA%\Microsoft\Word\STARTUP\test.wll"

Tool consigliati per il laboratorio: Sysmon (open source, Sysinternals), Process Monitor (gratuito, Sysinternals), Atomic Red Team (open source) — il test T1137.006 include atomics per WLL drop.

La detection di questa tecnica poggia su due pilastri: il monitoraggio del file system nelle directory di auto-caricamento e l'osservazione dei processi figli anomali generati dalle applicazioni Office.

Log Source Prioritari

La fonte primaria è Sysmon (open source). Con una configurazione adeguata del file XML, devi catturare due classi di eventi:

Gli eventi FileCreate (EventCode 11) nelle directory critiche — %APPDATA%\Microsoft\Word\STARTUP\, %APPDATA%\Microsoft\Excel\XLSTART\ e le rispettive cartelle di installazione globale sotto Program Files. Filtra per estensioni .wll, .xll, .dll, .vsto e .com. Qualsiasi scrittura in queste directory fuori da un ciclo di aggiornamento Office è sospetta.

Gli eventi ProcessCreate (EventCode 1) dove il processo padre è WINWORD.EXE, EXCEL.EXE o OUTLOOK.EXE e il figlio è powershell.exe, cmd.exe, mshta.exe, rundll32.exe o wscript.exe. Un'applicazione Office che genera un interprete di scripting è quasi sempre anomalo e merita indagine immediata.

Per il vettore Outlook, il log Microsoft-Office/OutlookAddinMonitor fornisce visibilità nativa sugli add-in caricati, incluso lo stato di firma digitale. Abilitalo via Group Policy e configura un alert su ogni add-in non firmato o con firma non presente nella whitelist aziendale.

Riduzione dei Falsi Positivi

Il rumore principale proviene dagli add-in legittimi di terze parti (plugin CRM, strumenti di firma digitale, client VPN che si integrano con Outlook). Costruisci una baseline degli add-in autorizzati tramite inventario centralizzato e confrontala con le rilevazioni. L'approccio più efficace è una whitelist di hash SHA256 dei file add-in approvati, aggiornata ad ogni patching cycle.

Le regole ASR (Attack Surface Reduction) di Microsoft Defender sono la mitigazione documentata: abilitale per bloccare la creazione di processi figli da parte delle applicazioni Office e la scrittura di contenuti eseguibili su disco. Queste regole, attivabili tramite GPO o Intune, eliminano chirurgicamente il vettore di esecuzione senza interferire con la funzionalità add-in di base.

Regola di Correlazione Essenziale

Correla la creazione di un file in una directory add-in (EventCode 11) con un successivo ProcessCreate (EventCode 1) da parte del processo Office corrispondente entro una finestra temporale di 5 minuti. Questa sequenza — deposito file, avvio Office, spawn di processo anomalo — è il pattern comportamentale distintivo della tecnica.

L'analisi forense di questa tecnica ruota attorno a tre categorie di artefatti: file system, registro di sistema e tracce di esecuzione.

Artefatti File System

Il punto di partenza è l'ispezione delle directory di auto-caricamento. Su un'immagine disco acquisita, verifica il contenuto di:

• %APPDATA%\Microsoft\Word\STARTUP\ — file .wll (vettore usato da Naikon e da Bisonal)
• %APPDATA%\Microsoft\Excel\XLSTART\ — file .xll
• %APPDATA%\Microsoft\Outlook\ — manifest .vsto o DLL di add-in (vettore di LunarLoader e LunarMail)
• Le directory equivalenti sotto %ProgramFiles% per installazioni globali

Per ogni file sospetto, estrai i timestamp MACB dalla MFT. Il timestamp di creazione ($SI_Created) indica il momento del deposito; confrontalo con i timestamp di login dell'utente e con gli eventi di rete per stabilire il vettore di consegna iniziale. Usa MFTECmd di Eric Zimmerman (open source) per il parsing:

MFTECmd.exe -f "$MFT" --csv output_dir

Filtra il CSV risultante per i percorsi delle directory STARTUP e XLSTART.

Artefatti di Registro

Le chiavi di registro critiche risiedono sotto i rami specifici per versione di Office. Per ciascuna applicazione, esamina:

• HKCU\Software\Microsoft\Office\<version>\<app>\Addins\
• HKLM\Software\Microsoft\Office\<version>\<app>\Addins\
• HKCU\Software\Microsoft\Office\<version>\<app>\Resiliency\DisabledItems\ — se un add-in malevolo ha causato crash, Office lo registra qui

Estrai queste chiavi con RegRipper (open source) o con Registry Explorer di Eric Zimmerman (open source). Il valore LoadBehavior impostato a 3 (caricamento automatico) su un add-in non riconosciuto è un indicatore forte.

Tracce di Esecuzione

Le evidence di esecuzione si trovano nei log Sysmon, se erano attivi durante l'intrusione. Cerca nel canale Microsoft-Windows-Sysmon/Operational gli EventCode 7 (ImageLoaded) con il processo Office che carica una DLL dal percorso STARTUP. Questo evento fornisce l'hash del modulo caricato.

In assenza di Sysmon, i file Prefetch di Windows offrono un'alternativa: il file WINWORD.EXE-*.pf elenca le DLL caricate durante le ultime esecuzioni. Parsalo con PECmd (open source, Eric Zimmerman):

PECmd.exe -f "C:\Windows\Prefetch\WINWORD.EXE-XXXXXXXX.pf"

Cerca nell'output riferimenti a file .wll o .xll caricati da percorsi non standard. La correlazione tra il timestamp del Prefetch e la creazione del file add-in nella MFT chiude la timeline: deposito → avvio Office → caricamento add-in → eventuale spawn di processo malevolo.

Il panorama degli attori che abusano degli add-in Office è contenuto ma qualitativamente significativo, con un chiaro orientamento verso operazioni di spionaggio a lungo termine.

Naikon (G0019)

Naikon è il gruppo APT documentato nell'utilizzo diretto di questa tecnica. Il loro approccio è pragmatico: utilizzano il builder RoyalRoad (noto anche come 8.t RTF exploit builder) per generare documenti che, una volta aperti, depositano un loader di secondo stadio denominato intel.wll nella cartella Word Startup. La scelta del nome intel.wll è deliberata — si mimetizza tra file di sistema legittimi e suggerisce una conoscenza approfondita dell'ambiente target.

Naikon opera storicamente nella regione Asia-Pacifico, con focus su entità governative e militari nel Sud-Est asiatico. L'utilizzo di RoyalRoad li colloca all'interno di un ecosistema più ampio di gruppi sinofoni che condividono questo builder, rendendo l'attribuzione basata sul solo strumento insufficiente. L'elemento distintivo è la catena completa: documento RTF → exploit equation editor → drop WLL → persistenza automatica.

Ecosistema Malware

Le tre famiglie software associate alla tecnica delineano due cluster operativi distinti.

Bisonal (S0268) segue lo stesso pattern WLL di Naikon, caricando il proprio payload tramite un file con estensione .wll depositato nella directory %APPDATA%\Microsoft\Word\STARTUP\. Bisonal è un RAT con lunga storia operativa nell'area Asia-Pacifico, il che suggerisce una possibile sovrapposizione di targeting — se non di operatori — con Naikon.

LunarLoader (S1143) e LunarMail (S1142) rappresentano un cluster separato e più sofisticato. Entrambi sfruttano gli add-in di Outlook anziché Word, una scelta tattica che garantisce un profilo di persistenza diverso: il client di posta è tipicamente sempre aperto in ambienti enterprise, offrendo esecuzione pressoché continua. LunarMail in particolare è progettato per operare attraverso il canale email stesso, il che suggerisce un modello operativo dove la persistenza e il canale C2 convergono nello stesso vettore.

Pattern e Proiezioni

Il trend emergente è la migrazione dal vettore WLL/XLL tradizionale (Word/Excel) verso gli add-in Outlook e VSTO, più difficili da monitorare e meno coperti dalle regole ASR standard. Per il threat intelligence operativo, monitora i servizi di sharing malware per nuovi campioni con estensione .vsto o DLL registrate sotto i rami Outlook Addins, e correla con le infrastrutture C2 note dei cluster Lunar.

Framework MITRE ATT&CK: tecnica T1137.006, tattica TA0003, gruppo G0019, software S0268, S1142, S1143, mitigazione M1040, detection DET0050 (AN0137, AN0138). Integrato con conoscenza professionale per tool e procedure operative.