Office 应用程序启动

Microsoft Office 是企业网络中基于 Windows 操作系统的相当常见的应用程序套件。 在基于 Office 的应用程序启动阶段，可以利用 Office 的多种机制实现持久化。

Office 模板宏

Microsoft Office 包含一些模板，它们是常用 Office 应用程序的一部分，用于自定义样式。 每次启动应用程序时都会使用其对应的基本模板。

Office Visual Basic for Applications (VBA) 宏 可以插入到基本模板中，并用于在各个 Office 应用程序启动时执行代码，以获得持久性。 目前已经发现并公布了 Word 和 Excel 的相关例子。 Word 会默认创建 Normal.dotm 模板，可以更改它以包含恶意宏。 Excel 没有默认创建的模板文件，但是可以添加自动加载的模板文件。

Word Normal.dotm 位置：C:\Users(username)\AppData\Roaming\Microsoft\Templates\Normal.dotm

Excel Personal.xlsb 位置：C:\Users(username)\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB

攻击者可能需要启用宏以达到任意执行，这取决于系统或企业的关于使用宏的安全策略。

Office 测试

在该注册表位置放入 DLL 引用时，每次启动 Office 应用程序时都会执行二进制路径指向的相应 DLL HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf

插件

可以使用 Office 插件程序向 Office 程序添加功能。

加载项也可用于获取持久性，因为可以将其设为在 Office 应用程序启动时执行代码。 各种 Office 产品可以使用不同类型的加载项；包括 Word/Excel 加载项 (WLL/XLL)、VBA 加载项、Office 组件对象模型 (COM) 加载项、自动化加载项、VBA 编辑器 (VBE) 和 Visual Studio 工具。

缓解

遵循适合您环境的 Office 宏安全的最佳实践。 禁用 Office VBA 宏执行。 即使设置为禁用通知，也会使不知情的用户执行潜在的恶意宏。

对于 Office Test 方法，请创建用于执行它的注册表项，并将权限设置为“Read Control”，以防止在没有管理员权限或需要权限升级的情况下轻松访问该项。

禁用 Office 加载项。 如果它们是必需的，请遵循保障它们安全的最佳实践，要求对其进行签名，并禁用用户通知以允许加载项。 对于某些加载项类型 (WLL, VBA)，可能需要额外的缓解措施，因为在 Office 信任中心（Office Trust Center）禁用加载项时不会禁用 WLL，也不会阻止 VBA 代码的执行。

检测

许多与 Office 相关的持久化机制都需要更改注册表以及将二进制文件、文件或脚本写入磁盘或修改现有文件使其包含恶意脚本。 收集与注册表项创建和修改相关的事件以查找可用于基于 Office 的持久化的项。 还应调查对基本模板（如 Normal.dotm）的修改，因为基本模板一般不包含 VBA 宏。 还应该调查对 Office 宏安全设置的更改。 监视和验证文件系统上的 Office 受信任位置，并审核与启用加载项相关的注册表项。 非标准进程执行树也可能表明可疑或恶意行为。收集进程执行信息，包括进程 id (PID) 和父进程 id (PPID)，并查找由 Office 进程导致的异常活动链。 如果 winword.exe 是与其他攻击技术相关的可疑进程和活动的父进程，那么这可以表明该应用程序被恶意使用。