Macro nei Template di Office: Office Template Macros (T1137.001)

Il modo più diretto per simulare questa tecnica in laboratorio è lavorare direttamente sul file Normal.dotm di Word. L'obiettivo è iniettare una macro VBA nel template in modo che venga eseguita automaticamente all'avvio dell'applicazione, replicando il comportamento documentato per MuddyWater.

La prima fase consiste nel localizzare il template. Su un sistema Windows con Office installato, il percorso standard è C:\Users\<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm. Per Excel, la directory di riferimento è C:\Users\<username>\AppData\Roaming\Microsoft\Excel\XLSTART\ — se il file PERSONAL.XLSB non esiste, basta crearlo.

Per l'iniezione manuale, apri Word, premi Alt+F11 per accedere all'editor VBA, seleziona il progetto Normal nel riquadro di sinistra e inserisci un modulo con una subroutine AutoExec() o AutoOpen(). Un proof-of-concept sicuro per il lab:

Sub AutoExec()

• Shell "calc.exe"* End Sub

Salva, chiudi e riapri Word: la calcolatrice comparirà, confermando la persistenza.

Per un approccio red team più realistico, Cobalt Strike (a pagamento) offre un workflow integrato: il modulo Office macro genera payload VBA che possono essere inseriti in un template Excel con trust delle macro forzato a livello di registro. La chiave da impostare è:

reg add "HKCU\Software\Microsoft\Office\16.0\Excel\Security" /v VBAWarnings /t REG_DWORD /d 1 /f

Il valore 1 indica "abilita tutte le macro senza notifica", disattivando di fatto il prompt di sicurezza per l'utente corrente.

Per simulare l'hijack tramite GlobalDotName, la modifica è altrettanto diretta:

reg add "HKCU\Software\Microsoft\Office\16.0\Word\Options" /v GlobalDotName /t REG_SZ /d "C:\Temp\evil.dotm" /f

Questo forza Word a caricare il template dalla posizione specificata. In ambiente di test, posiziona un .dotm contenente la macro di PoC nel percorso indicato e verifica che Word lo carichi al prossimo avvio.

Un'alternativa open source è EvilClippy (open source), un tool .NET che consente di manipolare documenti Office a livello binario, nascondendo il codice VBA dal visualizzatore macro standard. Per il nostro scenario, è utile per iniettare macro in un template pre-esistente da riga di comando senza aprire Office:

EvilClippy.exe -s hidden_macro.vbs Normal.dotm

Ricorda di ripristinare il template originale e le chiavi di registro al termine dell'esercizio. Un file Normal.dotm pulito può essere rigenerato semplicemente rinominando quello corrente e riavviando Word.

Il cuore della detection per questa tecnica ruota attorno a due superfici: le modifiche ai file template e le alterazioni delle chiavi di registro che governano il caricamento dei template stessi.

La log source primaria è Sysmon (open source), in particolare gli eventi di tipo EventCode 11 (FileCreate) e EventCode 2 (FileCreationTimeChanged). L'analisi AN1436 indica chiaramente di monitorare WinEventLog:Sysmon e WinEventLog:Microsoft-Office-Alerts. Il punto di partenza è una regola che rilevi qualsiasi scrittura sui percorsi critici: la directory \Microsoft\Templates\ per Word e \Microsoft\Excel\XLSTART\ per Excel. Un file .dotm o .xlsb che compare o viene modificato in queste directory al di fuori di un aggiornamento Office programmato è un segnale di forte interesse.

Per la componente registry, Sysmon EventCode 13 (RegistryValueSet) è il sensore chiave. La regola deve intercettare modifiche alla chiave GlobalDotName sotto il percorso HKCU\Software\Microsoft\Office\<versione>\Word\Options, così come alterazioni alla chiave VBAWarnings sotto il ramo Security di Word ed Excel. Un abbassamento del valore VBAWarnings da 2-4 a 1 equivale a disabilitare le protezioni macro ed è quasi sempre anomalo in ambiente enterprise.

Il tuning è fondamentale per evitare rumore. I parametri indicati nella detection AN1436 suggeriscono di calibrare su:

• TemplatePath: i percorsi variano per versione Office (Office 16, Office 15, Microsoft 365 Apps); crea una lista di percorsi validi per il tuo parco macchine
• UserContext: restringi gli alert iniziali agli utenti ad alto valore o con accesso a dati sensibili, poi allarga progressivamente
• TimeWindow: correla la modifica del template con l'avvio successivo del processo Office (WINWORD.EXE, EXCEL.EXE) e con eventuali spawn di processi figlio anomali

Sul versante Microsoft 365, l'analisi AN1437 indica i log m365:unified come fonte per ambienti cloud. In questo contesto, monitora il caricamento di macro da template provenienti da percorsi di rete condivisi o da URL remoti — uno scenario di template pulling che può sfuggire ai controlli endpoint tradizionali.

La mitigazione M1040 raccomanda le regole Attack Surface Reduction (ASR) di Windows 10/11, in particolare la regola che impedisce alle applicazioni Office di creare processi figlio. Questa è una delle difese più efficaci: anche se la macro viene eseguita, non potrà lanciare cmd.exe, powershell.exe o altri interpreti. Affiancala con la mitigazione M1042: disabilita le macro VBA via Group Policy dove non strettamente necessarie e rimuovi gli add-in non firmati.

I falsi positivi principali derivano da utenti che personalizzano legittimamente i propri template o da soluzioni enterprise che distribuiscono template standardizzati tramite XLSTART. Documenta queste eccezioni in una whitelist basata su hash del file e percorso sorgente.

L'analisi forense di questa tecnica si concentra su tre categorie di artefatti: i file template stessi, le chiavi di registro e le tracce di esecuzione VBA.

Il primo passo è acquisire il file Normal.dotm dal profilo utente compromesso. I file .dotm sono archivi ZIP contenenti XML e, crucialmente, un file vbaProject.bin che ospita il codice macro. Estrarre e decompilare questo binario con olevba (open source), parte della suite oletools di Philippe Lagadec, è il metodo standard:

olevba Normal.dotm

Il tool identifica automaticamente keyword sospette come Shell, CreateObject, AutoExec, AutoOpen e Document_Open, restituendo un punteggio di rischio. Per Excel, la stessa analisi si applica a PERSONAL.XLSB, con la differenza che il formato binario richiede il parser XLSB di oletools.

I timestamp del file system sono il secondo pilastro. Un Normal.dotm con data di modifica successiva all'installazione di Office e non correlata ad aggiornamenti è sospetto. Confronta il timestamp $MFT (tramite analisi NTFS con tool come MFTECmd di Eric Zimmerman, open source) con i metadati interni del documento Office — autore, data ultima modifica, application version — estraibili con exiftool (open source):

exiftool Normal.dotm

Discrepanze tra l'autore del documento e l'utente del profilo, o tra la versione Office nei metadati e quella installata, indicano che il template è stato creato altrove e trasferito.

Per la componente registry, l'analisi della chiave GlobalDotName richiede l'estrazione dell'hive NTUSER.DAT dell'utente. Con RegRipper (open source) o Registry Explorer (open source, Eric Zimmerman), cerca il percorso Software\Microsoft\Office\<versione>\Word\Options\GlobalDotName. Se il valore punta a un percorso insolito — una share di rete, una directory temporanea, un percorso sotto ProgramData — hai un forte indicatore di compromissione. Esamina anche l'ultimo timestamp di scrittura della chiave per collocarla nella timeline.

Le tracce di esecuzione completano il quadro. Quando una macro Office spawna un processo, gli artefatti Prefetch (file .pf in C:\Windows\Prefetch) registrano l'esecuzione. Cerca file Prefetch per WINWORD.EXE e correla il timestamp con quelli di processi anomali come cmd.exe o powershell.exe avviati nello stesso intervallo temporale. I log Sysmon EventCode 1 (ProcessCreate) con campo ParentImage che punta a WINWORD.EXE o EXCEL.EXE sono la conferma diretta della catena di esecuzione.

Infine, verifica la presenza di copie shadow del volume (VSS): un Normal.dotm pulito in uno snapshot precedente, confrontato con la versione attuale contenente macro, fornisce sia il delta temporale dell'infezione sia il contenuto originale per il ripristino.

MuddyWater (G0069)

MuddyWater è il gruppo più direttamente associato a questa tecnica, avendo utilizzato il template Normal.dotm di Word come vettore di persistenza. Questo attore, attribuito a operazioni legate all'Iran, opera prevalentemente contro obiettivi in Medio Oriente, Asia meridionale e, in misura minore, Europa e Nord America. La scelta di persistere tramite template Office è coerente con il profilo operativo del gruppo: predilige meccanismi a basso profilo che sfruttano funzionalità legittime del sistema operativo, riducendo la probabilità di detection da parte di soluzioni antivirus tradizionali.

L'uso di Normal.dotm come ancoraggio di persistenza suggerisce che MuddyWater miri a mantenere accesso duraturo su endpoint dove Word viene aperto frequentemente — tipicamente postazioni di lavoro di personale amministrativo, diplomatico o di ricerca. Questo pattern si integra con le fasi successive della kill chain del gruppo, dove il codice VBA funge da loader per strumenti di secondo stadio.

BackConfig (S0475)

Il malware BackConfig adotta un approccio complementare: anziché modificare il template predefinito, utilizza colonne nascoste in fogli Excel per occultare file eseguibili o comandi destinati alle macro VBA. Questa tecnica di steganografia applicata al formato spreadsheet rende il rilevamento particolarmente complesso, poiché il file appare legittimo ad un'ispezione superficiale. L'analista TI dovrebbe cercare campioni con strutture Excel contenenti colonne con larghezza zero e contenuto binario codificato.

Cobalt Strike (S0154)

L'uso di Cobalt Strike in questo contesto è significativo dal punto di vista dell'overlap tra strumenti. Il framework commerciale di red teaming — ampiamente adottato anche da attori malevoli attraverso versioni piratate — integra la capacità di generare macro Excel che modificano programmaticamente le impostazioni di trust, eliminando il prompt di sicurezza. Questo pattern è un indicatore di professionalizzazione dell'attaccante: la presenza di artefatti Cobalt Strike associati a template macro modificati suggerisce un operatore con competenze strutturate, probabilmente un gruppo APT o un affiliato ransomware piuttosto che un attore opportunistico.

Pattern e trend operativi

Dal punto di vista geografico, la tecnica template macro è preferita da attori che operano contro ambienti enterprise con forte dipendenza dalla suite Office, in particolare settori governativo, energetico e accademico. Il trend emergente è il template pulling da posizioni remote — un'evoluzione che combina persistenza locale con flessibilità di aggiornamento del payload: l'attaccante modifica il file sulla share o sul server web e la macro si aggiorna automaticamente al prossimo avvio di Office, senza bisogno di riaccedere all'endpoint.

Un indicatore predittivo utile: se un attore utilizza T1137.001, è probabile che sfrutti anche meccanismi di persistenza analoghi basati su funzionalità Office legittime, come add-in (T1137.006) o regole Outlook (T1137.005). Monitorare l'intera famiglia T1137 come cluster è più efficace che trattare le sotto-tecniche in isolamento.

Framework MITRE ATT&CK v16 — Tecnica T1137.001, Tattica TA0003, Gruppo G0069, Software S0475 e S0154, Mitigazioni M1040 e M1042, Detection DET0519 (analisi AN1436, AN1437). Integrato con conoscenza professionale per tool e procedure operative: oletools/olevba, EvilClippy, MFTECmd, exiftool, RegRipper, Registry Explorer, Sysmon, Cobalt Strike.