det0029-detect-persistence-via-outlook-custom-forms-triggered-by-malicious-email

# DET0029 — Detect Persistence via Outlook Custom Forms Triggered by Malicious Email ## Descrição Esta estratégia detecta persistência estabelecida através do abuso de formulários personalizados do Microsoft Outlook (Custom Forms). Adversários criam formulários com código VBScript ou JScript embutido e os públicam na caixa de correio da vítima. Quando um email específico (com o cabeçalho `MAPI_MESSAGE_CLASS` correto) chega à caixa de entrada, o formulário malicioso é executado automaticamente, sem intervenção do usuário, no contexto do processo Outlook. A técnica é particularmente furtiva porque os formulários residem no perfil MAPI da caixa de correio (Exchange ou PST), não no sistema de arquivos local, dificultando a detecção por soluções de endpoint tradicionais. A telemetria necessária inclui: monitoramento de criação/modificação de formulários OFT em `%APPDATA%\Microsoft\Forms\`, análise de chamadas de API MAPI para `PublishForm`, e correlação de processos filhos do `OUTLOOK.EXE` com comandos de shell. Em ambientes Exchange, a auditoria de modificações em pastas especiais de formulários via `EWS` (Exchange Web Services) ou PowerShell Exchange é complementar. O Outlook iniciando `wscript.exe`, `cscript.exe`, `cmd.exe` ou `powershell.exe` como processo filho é um indicador comportamental crítico que não ocorre em uso legítimo normal. ## Indicadores de Detecção - Criação ou modificação de arquivos `.oft` em `%APPDATA%\Microsoft\Forms\` - `OUTLOOK.EXE` como processo pai de `cmd.exe`, `powershell.exe`, `wscript.exe`, ou `cscript.exe` - Chamada MAPI `PublishForm` por processo não-administrativo ou usuário sem histórico de públicação - Email recebido com cabeçalho `X-MS-Exchange-Organization-*` e campo de classe de mensagem customizado - Formulário públicado na pasta `Inbox`, `Sent Items` ou `Contacts` do perfil Exchange - Execução de VBScript via Outlook fora do horário comercial (após-hora, fins de semana) - Chave de registro `HKCU\Software\Microsoft\Office\Outlook\Addins` com entrada suspeita ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0085-analytic-0085|AN0085 — Analytic 0085]] - [[an0086-analytic-0086|AN0086 — Analytic 0086]] --- *Fonte: [MITRE ATT&CK — DET0029](https://attack.mitre.org/detectionstrategies/DET0029)*