Template Injection: Iniezione di Template Malevoli (T1221)

Il formato Office Open XML (OOXML) è essenzialmente un archivio ZIP contenente file XML. Per replicare l'attacco, inizia estraendo il contenuto di un documento legittimo con: unzip document.docx -d extracted/.

Nel file word/_rels/settings.xml.rels, identifica il riferimento al template e modificalo per puntare al tuo server malevolo. La struttura XML contiene un tag Target che specifica l'URL del template remoto.

Per i documenti RTF, la manipolazione avviene direttamente nel codice esadecimale. Cerca il control word \template e sostituisci il percorso con l'URL del tuo payload. Strumenti come Phishery automatizzano questo processo, permettendoti di iniettare URL per Forced Authentication.

Un approccio pratico prevede l'hosting di un template DOTM malevolo su un server controllato. Quando il documento viene aperto, Office scarica ed esegue automaticamente il template remoto. Puoi monitorare le richieste con: python3 -m http.server 8080 per confermare il successo dell'operazione.

Per testare scenari di Forced Authentication, configura un responder SMB: responder -I eth0 -v. L'URL iniettato nel template forzerà l'autenticazione NTLM, catturando gli hash delle credenziali.

La detection efficace richiede il monitoraggio dei processi Office che iniziano connessioni di rete anomale. Configura regole Sysmon per catturare eventi quando winword.exe, excel.exe o powerpnt.exe generano traffico HTTP/HTTPS verso domini esterni.

L'EventID 3 di Sysmon cattura le connessioni di rete. Correla questi eventi con la creazione di processi figli sospetti (EventID 1), particolarmente PowerShell o cmd.exe spawned da processi Office. Un pattern tipico mostra il processo Office che si connette a un IP esterno, seguito dalla creazione di un processo PowerShell entro 30 secondi.

Per ridurre i falsi positivi, implementa una whitelist dei domini Microsoft legittimi utilizzati per template aziendali. Focalizzati su URL contenenti porte non standard o pattern sospetti come IP diretti invece di FQDN.

La detection comportamentale può identificare documenti che tentano connessioni SMB verso sistemi esterni. Monitor per tentativi di autenticazione NTLM originati da processi Office verso destinazioni non autorizzate.

Un indicatore veloce è il rapporto tra documenti aperti e connessioni di rete generate. In ambienti normali, meno del 5% dei documenti Office dovrebbe generare traffico di rete durante l'apertura.

Gli artefatti chiave risiedono nella struttura interna dei documenti OOXML. Estrai e analizza i file XML alla ricerca di riferimenti a template remoti. Il timestamp di modifica del file settings.xml.rels può indicare quando è avvenuta l'iniezione.

Nel registro di Windows, esamina le chiavi MRU (Most Recently Used) di Office per identificare documenti sospetti. La chiave HKEY_CURRENT_USER\Software\Microsoft\Office[Version]\Word\File MRU contiene la cronologia dei file aperti con timestamp precisi.

I log di IIS o Apache del server C2 dell'attaccante, se recuperati, mostrano le richieste GET per il download del template malevolo. Cerca pattern di User-Agent associati alle diverse versioni di Office per ricostruire quali sistemi sono stati compromessi.

Gamaredon Group ha dimostrato capacità avanzate iniettando template malevoli in documenti già presenti sui sistemi compromessi. Cerca modifiche ai file DOCX esistenti confrontando gli hash prima e dopo l'incidente.

Per i file RTF, utilizza tool di analisi esadecimale per identificare control word \template anomali. La posizione e il contenuto di questi campi possono rivelare tecniche di offuscamento utilizzate dall'attaccante.

APT28 ha pionerato l'uso di template remoti malevoli in documenti Word weaponized, dimostrando capacità tecniche avanzate. Il gruppo tipicamente combina questa tecnica con infrastructure geograficamente distribuita per evadere blocking basati su geolocalizzazione.

Gamaredon Group mostra un pattern evolutivo interessante: dall'uso iniziale di DOCX con template malevoli, sono passati a RTF template injection e poi alla modifica di documenti esistenti sui sistemi compromessi. Questa progressione suggerisce adattamento continuo alle difese.

DarkHydrus si distingue per l'uso di tool open-source come Phishery, indicando un approccio pragmatico che privilegia l'efficacia rispetto allo sviluppo custom. Il focus su Forced Authentication suggerisce obiettivi di lateral movement nelle reti target.

L'operazione Dream Job di Lazarus Group ha dimostrato l'uso di template injection in campagne di spear-phishing altamente mirate. I lure utilizzavano offerte di lavoro false, con DOCX che recuperavano file DOTM malevoli.

Il trend emergente mostra un incremento nell'uso di questa tecnica per initial access, con 4 gruppi su 7 che la combinano con social engineering sofisticato. L'overlap negli strumenti suggerisce possibile condivisione di TTP tra gruppi o utilizzo di servizi criminali comuni.

Tecnica documentata nel framework MITRE ATT&CK con riferimenti alle campagne Frankenstein e Operation Dream Job. Detection basata su analisi comportamentale di processi Office e correlazione eventi Sysmon per identificazione pattern anomali di network activity post-apertura documenti.