Office Test: Persistenza Nascosta tramite Registry Key (T1137.002)

Per testare questa tecnica in ambiente controllato, iniziamo creando la struttura di registro necessaria. La chiave può esistere sia a livello utente che di sistema:

reg add "HKCU\Software\Microsoft\Office test\Special\Perf" /t REG_SZ /d "C:\Users\Public\malicious.dll" /f

Oppure per persistenza a livello di sistema (richiede privilegi elevati):

reg add "HKLM\Software\Microsoft\Office test\Special\Perf" /t REG_SZ /d "C:\ProgramData\malicious.dll" /f

Il gruppo APT28 ha utilizzato specificamente la chiave HKCU, probabilmente per evitare la necessità di privilegi amministrativi. Per creare una DLL di test che simuli il comportamento malevolo, puoi utilizzare un semplice codice C che logga l'esecuzione:

#include <windows.h>
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
    if (ul_reason_for_call == DLL_PROCESS_ATTACH) {
        MessageBoxA(NULL, "Office Test Persistence Active", "Test", MB_OK);
    }
    return TRUE;
}

Compila la DLL e posizionala nel percorso specificato nella chiave di registro. Al successivo avvio di Word, Excel o PowerPoint, la DLL verrà caricata automaticamente nel processo Office.

Per automatizzare il test su più macchine, considera questo script PowerShell:

$dllPath = "\fileserver\share\test.dll" New-Item -Path "HKCU:\Software\Microsoft\Office test\Special" -Force Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office test\Special\Perf" -Name "" -Value $dllPath

Un aspetto interessante è che la DLL viene caricata senza alcun warning all'utente, bypassando completamente i controlli macro. Questo la rende particolarmente efficace contro organizzazioni che hanno disabilitato le macro ma continuano a utilizzare Office.

Il monitoraggio di questa tecnica richiede un approccio multilivello che combini detection su registry e comportamento dei processi. La chiave di registro Office Test non dovrebbe mai esistere in un ambiente normale, quindi la sua semplice presenza è un forte indicatore di compromissione.

Configura Sysmon per catturare gli eventi di creazione registry con questa regola:

<RuleGroup name="Office Test Detection">
  <RegistryEvent onmatch="include">
    <TargetObject condition="contains">Office test\Special\Perf</TargetObject>
  </RegistryEvent>
</RuleGroup>

Il detection code DET0315 suggerisce di monitorare sia gli eventi Sysmon che i Microsoft Office Alerts. Un approccio efficace combina la detection della creazione della chiave con il monitoraggio del caricamento DLL successivo.

Per ridurre i falsi positivi, correla la creazione della chiave di registro con il successivo caricamento di DLL non firmate da processi Office. Query SIEM di esempio:

EventID=12 AND TargetObject CONTAINS "Office test\Special\Perf" FOLLOWED BY EventID=7 AND Image CONTAINS ("winword.exe" OR "excel.exe") AND Signed=false

Un punto critico è che la chiave può esistere sia in HKCU che HKLM, e il percorso può variare leggermente tra versioni Office a 32 e 64 bit. Assicurati che la detection copra tutte le varianti possibili.

L'analytic AN0881 evidenzia che questa tecnica bypassa i warning macro tradizionali. Questo significa che organizzazioni che si affidano solo al blocco macro potrebbero essere vulnerabili senza saperlo.

Durante l'analisi forense di un sistema compromesso con Office Test, la ricostruzione della timeline inizia dall'identificazione della chiave di registro malevola. Gli artefatti principali da esaminare includono i registry hive e i log di caricamento DLL.

Per estrarre le informazioni dal registro offline: reg load HKLM\TEMP C:\forensics\NTUSER.DAT reg query "HKLM\TEMP\Software\Microsoft\Office test\Special\Perf"

La timestamp della creazione della chiave fornisce il momento esatto della persistenza. Utilizzando RegRipper o Registry Explorer, puoi ottenere i LastWrite time precisi per correlare con altre attività sospette.

L'analisi del Prefetch può rivelare quando la DLL malevola è stata eseguita per la prima volta. Cerca file .pf corrispondenti ai processi Office che mostrano caricamenti DLL anomali nel periodo successivo alla creazione della chiave.

C:\Windows\Prefetch\WINWORD.EXE-.pf* C:\Windows\Prefetch\EXCEL.EXE-.pf*

USN Journal spesso contiene tracce della creazione iniziale della DLL malevola. Analizza le entry per identificare quando il file è stato scritto su disco e da quale processo.

Un pattern comune osservato è che gli attaccanti posizionano la DLL in directory user-writable come %APPDATA% o %TEMP%. Questo evita la necessità di privilegi elevati ma lascia più tracce forensi. ShimCache e Amcache possono contenere evidenze dell'esecuzione della DLL, specialmente se l'attaccante ha utilizzato tecniche di offuscazione del nome file.

APT28 (noto anche come Fancy Bear o Sofacy) rimane l'unico gruppo documentato nell'utilizzo di Office Test per persistenza. Questo gruppo russo, associato al GRU, ha dimostrato una predilezione per tecniche di persistenza sofisticate che bypassano i controlli di sicurezza tradizionali.

L'implementazione di APT28 utilizza specificamente la chiave HKCU, suggerendo operazioni che non richiedono privilegi amministrativi. Questo si allinea con il loro modus operandi di mantenere un profilo basso dopo l'accesso iniziale.

La scelta di Office Test da parte di APT28 non è casuale. Il gruppo tende a targetizzare organizzazioni governative e think tank dove Microsoft Office è ubiquo. La tecnica permette persistenza affidabile senza triggare alert di sicurezza comuni.

Pattern geografici mostrano che APT28 concentra le operazioni in Europa orientale e paesi NATO, con picchi di attività durante tensioni geopolitiche. La sovrapposizione con altri tool del gruppo include Zebrocy, X-Agent e CHOPSTICK, tutti progettati per operazioni a lungo termine.

L'assenza di altri gruppi APT documentati con questa tecnica suggerisce due possibilità: è sottoutilizzata o sottorilevata. Data la semplicità di implementazione, è probabile che altri attori la stiano già utilizzando senza essere stati ancora identificati. Gruppi con TTP simili ad APT28, come APT29 o Turla, potrebbero adottarla in futuro.

Tecnica documentata nel MITRE ATT&CK framework come T1137.002 Office Test, parte della tattica Persistence. Utilizzo confermato dal gruppo APT28 in campagne targeted contro organizzazioni governative. Detection analytics DET0315 fornisce indicazioni per implementazione SOC-side con focus su registry monitoring e DLL injection detection.