Trusted Design
Adversaries may leverage Microsoft Office-based applications for persistence between startups. Microsoft Office is a fairly common application suite on Windows-based operating systems within an enterprise network. There are multiple mechanisms that can be used with Office for persistence when an Office-based application is started; this can include the use of Office Template Macros and add-ins.
A variety of features have been discovered in Outlook that can be abused to obtain persistence, such as Outlook rules, forms, and Home Page.(Citation: SensePost Ruler GitHub) These persistence mechanisms can work within Outlook or be used through Office 365.(Citation: TechNet O365 Outlook Rules)
T1137「Office Application Startup」(Office アプリケーションのスタートアップ) は、多くの企業で日常的に使われている Microsoft Office(Word, Excel, Outlookなど)の「起動時の仕組み」や「拡張機能」を悪用して、マルウェアを自動実行させる手法です。
この手法は、主に「永続化(Persistence)」の目的で実行されます。Windows独自の自動起動領域(Runレジストリやスタートアップフォルダなど)を警戒しているセキュリティツールの目を盗むために悪用されます。
この手法で攻撃者は、「ユーザーが業務でWordやExcel、Outlookを開く日常動作に便乗した、極めて見つかりにくい自動実行環境」を実現します。
高度な永続化:
OS起動時ではなく、ユーザーが「Officeアプリを起動した瞬間」にマルウェアが動くため、通常の自動起動チェックをすり抜けやすくなります。
ファイルレスやマクロ偽装:
独立した実行ファイル(.exe)を常駐させる必要がなく、Officeの正規のデータベースやテンプレートにコードを隠蔽できます。
T1137は、悪用する機能ごとに以下の6つの詳細な手法に分類されています。
内容:
Wordの標準テンプレートである Normal.dotm や、Excelの PERSONAL.XLSB などのグローバルテンプレートファイルを改ざんし、悪意のあるVBAマクロ(AutoOpen や Workbook_Open など)を埋め込みます。
挙動:
ユーザーが新しく白紙の文書を開いたり、アプリを起動したりするたびに、裏で自動的にマクロ(マルウェア)が実行されます。
内容:
MicrosoftがOfficeの開発・デバッグ用に用意したとされている、非公開のレジストリキーを悪用します。
レジストリキー:
HKCU\Software\Microsoft\Office\<バージョン>\Common\Office Test
挙動:
このキーに任意のDLLパスを登録しておくと、Officeアプリ(WordやExcel)が起動するたびに、そのDLLが自動的にプロセス内に読み込まれ、実行されます。
内容:
Outlookの「仕分けルール」を勝手に追加します。
挙動:
「特定の件名のメールを受信したら、指定したプログラム(マルウェア)を実行する」といったルールを裏で登録し、外部からのメール受信をトリガーにして遠隔操作を行います。
内容:
Excelのアドイン(.xll や .xlam)、Wordのアドイン(.wll)、またはCOMアドインとしてマルウェアを登録します。
挙動:
アプリの起動時に正規の拡張機能と同じ扱いでマルウェアがロードされます。
多くの場合、攻撃者はフィッシングメールなどで一時的に端末に侵入(ユーザー権限を確保)した後に、この設定を行います。
侵入:
攻撃者が一般ユーザー権限で端末の操作権を確保します(T1137の多くは管理者権限がなくても実行可能です)。
構成の変更:
AppData 配下にある Normal.dotm を悪意あるマクロ付きのものに置き換える。HKCU(現在のユーザー)のレジストリに「Office Test」キーを作成し、マルウェアDLLを指定する。潜伏:
攻撃者は一旦ログアウトするか、通信を止めて潜伏します。
発動:
翌日、ユーザーが出社して「業務のためにExcelやWord、Outlookを開いた」瞬間、OSおよびOfficeアプリが自動的に設定を読み込み、バックグラウンドでマルウェアが再起動します。
「マクロ・アドインの統制」と「挙動の監視」が鍵となります。
ASR(攻撃面の減少)ルールの有効化:
Windows 10/11で利用可能なMicrosoft DefenderのASRルールを活用します。
これらのルールを有効にすることで、マクロやアドインからマルウェアが起動するのを根本から遮断できます。
マクロ・アドインポリシーの強制:
グループポリシー(GPO)等を使用し、信頼されたデジタル署名のないマクロやアドインの実行を禁止(または一律無効化)します。
レジストリと特定ファイルの監視:
HKCU\Software\Microsoft\Office\...\Office Test などの不審なレジストリキーの作成をSysmonやEDRで監視します。Normal.dotm や XLSTART フォルダ内への予期せぬ書き込みを監視します。Outlookルールの定期監査:
PowerShellなどを用いて、ユーザー環境に外部プログラムを起動するような不審なOutlook仕分けルールが登録されていないか一括チェックします。
CWE-15: External Control of System or Configuration Setting:
アプリケーションの設定(Officeのテンプレートやレジストリ)を外部から不正に変更されてしまう不備。
CWE-427: Uncontrolled Search Path Element:
アドインやDLLなどのロード先が適切に制御されず、悪意あるコードの読み込みを許してしまう問題。
MuddyWater:
国家支援型とされるこのAPTグループは、標的の端末に侵入して永続化を確立する際、Wordの標準テンプレートである Normal.dotm(T1137.001)を狙って改ざんし、マクロ経由でバックドアを維持する手法を好んで使用したことで知られています。
APT28 (Fancy Bear):
Outlookの仕分けルール(T1137.005)や、Outlook Home Page(T1137.004)の不備を突き、メールの送受信をトリガーにして組織内に長期間潜伏する高度なサイバースパイ活動を展開した事例があります。
エンドポイントの調査(フォレンジック)の際、「スタートアップ」や「Runキー」だけを見て「自動起動するマルウェアは存在しない」と安心するのは禁物です。
ユーザーが毎日必ず立ち上げる Officeアプリの裏側(特に AppData\Roaming\Microsoft\Templates\ やOutlookのルール設定) に凶悪なトラップが仕掛けられている可能性があるため、不審な永続化の調査ではOffice関連のアーティファクト(痕跡)も必ずスキャン対象に含めてください。
この攻撃手法を利用する脅威アクターは登録されていません。
この攻撃手法に関連する CVE は登録されていません。