det0050-detect-persistence-via-malicious-office-add-ins

# DET0050 — Detect Persistence via Malicious Office Add-ins ## Descrição Esta estratégia detecta o uso de add-ins maliciosos do Microsoft Office como mecanismo de persistência. Adversários instalam add-ins (`.xll`, `.wll`, `.dll`, `.xlam`, `.dotm`) que são carregados automaticamente ao abrir aplicativos Office, garantindo execução persistente sem modificar binários do sistema ou criar entradas de execução óbvias. Essa técnica é usada por APTs e grupos de espionagem para manter acesso de longo prazo em ambientes corporativos. Alinhada a [[T1137.006-office-application-startup-add-ins]], a técnica abrange add-ins registrados via chaves de registro (`HKCU\Software\Microsoft\Office\{version}\{App}\AddIns`), arquivos colocados em diretórios de startup do Office (`%APPDATA%\Microsoft\Word\Startup\`), ou instalados via políticas de grupo. Add-ins legítimos são comuns em ambientes corporativos — a detecção depende de análise de origem, assinatura digital, e comportamento pós-carga. A telemetria deve incluir monitoramento de criação de arquivos em diretórios de startup do Office, modificações em chaves de registro de add-ins, e comportamento do processo Office após carregamento — conexões de rede inesperadas, spawning de processos filhos (especialmente `cmd.exe`, `powershell.exe`), ou acesso a credenciais armazenadas. ## Indicadores de Detecção - Criação de arquivos `.xll`, `.wll`, `.xlam`, `.dotm` em `%APPDATA%\Microsoft\{Word|Excel}\Startup\` - Nova entrada em `HKCU\Software\Microsoft\Office\*\AddIns\` adicionada por processo não-Office - Add-in sem assinatura digital válida ou assinado por certificado desconhecido - Processo Office (`winword.exe`, `excel.exe`) iniciando `cmd.exe`, `powershell.exe` ou `mshta.exe` como filho - Conexão de rede por processo Office para endereços não pertencentes à infraestrutura Microsoft ## Técnicas Relacionadas - [[T1137.006-office-application-startup-add-ins]] — técnica primária detectada - [[t1137-office-application-startup|T1137-office-application-startup]] — categoria pai de persistência via Office - [[T1059.005-command-and-scripting-interpreter-visual-basic]] — macros VBA associadas - [[T1566.001-phishing-spearphishing-attachment]] — vetor de entrega do add-in malicioso - [[t1055-process-injection|T1055-process-injection]] — injeção a partir do contexto do processo Office ## Analytics Relacionadas - [[an0137-analytic-0137|AN0137 — Analytic 0137]] - [[an0138-analytic-0138|AN0138 — Analytic 0138]] --- *Fonte: [MITRE ATT&CK — DET0050](https://attack.mitre.org/detectionstrategies/DET0050)*