det0398-detect-office-startup-based-persistence-via-macros-forms-and-registry-ho

# DET0398 — Detect Office Startup-Based Persistence via Macros, Forms, and Registry Hooks ## Descrição Adversários exploram os mecanismos de inicialização do Microsoft Office para estabelecer persistência discreta em sistemas Windows. Isso inclui o abuso de macros VBA nos diretórios STARTUP do Office, uso de formulários personalizados (UserForms) embutidos em documentos, e modificação de chaves de registro responsáveis por carregar componentes na inicialização dos aplicativos Office. A detecção eficaz exige monitoramento combinado de sistema de arquivos, registro e comportamento de processos. Arquivos `.dotm`, `.xlam` ou `.ppam` criados ou modificados nos diretórios de startup do Office são indicadores relevantes. Alterações não autorizadas em chaves como `HKCU\Software\Microsoft\Office\*\Word\Options` ou entradas em `HKLM\SOFTWARE\Microsoft\Office\*\Addins` merecem aténção imediata. Grupos APT como [[g0050-apt32]], [[g0046-fin7]] e [[g0032-lazarus-group]] historicamente abusam desse mecanismo para sobreviver a reinicializações e atualizações de sistema. A correlação de eventos de criação de arquivo em pastas de startup com execução subsequente de `WINWORD.EXE` ou `EXCEL.EXE` carregando módulos anômalos é um padrão de detecção de alta fidelidade. ## Indicadores de Detecção - Criação de arquivos `.dotm`, `.xlam`, `.ppam` em diretórios `%APPDATA%\Microsoft\Word\STARTUP` ou equivalentes - Modificações em chaves de registro de add-ins do Office por processos não-Office - Execução de `WINWORD.EXE` ou `EXCEL.EXE` com argumento `/regserver` ou carregando DLLs de localização não padrão - Macros VBA com chamadas a `Shell()`, `CreateObject()` ou `WScript.Shell` em templates de startup - Formulários OLE embutidos com código executável em documentos distribuídos via email ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an1116-analytic-1116|AN1116 — Analytic 1116]] - [[an1117-analytic-1117|AN1117 — Analytic 1117]] --- *Fonte: [MITRE ATT&CK — DET0398](https://attack.mitre.org/detectionstrategies/DET0398)*