det0504-detect-abuse-of-dynamic-data-exchange-t1559002

# DET0504 — Detect Abuse of Dynamic Data Exchange (T1559.002) ## Descrição Dynamic Data Exchange (DDE) é um protocolo legado do Windows que permite comunicação entre aplicações e atualização de dados vinculados entre documentos. Adversários abusam do DDE em documentos Office (Word, Excel) para executar comandos arbitrários sem necessidade de macros VBA, usando campos DDE que invocam `cmd.exe` ou PowerShell quando o documento é aberto e o usuário aceita os prompts de atualização. Essa técnica foi altamente utilizada em campanhas de spear-phishing de 2017-2019 e é mapeada como [[T1559.002-inter-process-communication-dde|T1559.002]] no MITRE ATT&CK. Embora a Microsoft tenha aplicado patches e alertas adicionais para reduzir o abuso de DDE, a técnica permanece funcional em ambientes com Office desatualizado ou quando políticas de segurança permitem campos DDE sem aviso. A detecção foca na criação de processos filhos a partir de aplicações Office — especialmente `cmd.exe` e `powershell.exe` — e na análise de campos DDE em documentos recebidos de fontes externas. Grupos de ameaça como [[g0007-apt28|APT28/Fancy Bear]] e [[g0046-fin7|FIN7]] documentadamente usaram DDE em campanhas de phishing direcionado. O monitoramento de Process Creation Events (Event ID 4688 ou Sysmon ID 1) com processo pai sendo WINWORD.EXE, EXCEL.EXE ou OUTLOOK.EXE e processo filho sendo interpretadores de comando é o método principal de detecção. Sandboxes de e-mail e análise de documentos via YARA podem identificar campos DDE antes de chegar ao endpoint. ## Indicadores de Detecção - `WINWORD.EXE` ou `EXCEL.EXE` gerando processo filho `cmd.exe` ou `powershell.exe` - Campos DDE em documento Word/Excel recebido por e-mail externo com sintaxe de execução de comando - Processo filho de aplicação Office executando comandos de reconhecimento (`whoami`, `net user`, `ipconfig`) - Download de payload secundário via processo filho de Office para diretório temporário - Processo `mshta.exe` iniciado como filho de aplicação Office via campo DDE - Alertas de atualização de link DDE aceitos pelo usuário seguidos de atividade de rede de saída incomum - Documento Office criado por e-mail externo contendo campos `{DDEAUTO cmd` ou `{DDE cmd` em metadados ## Técnicas Relacionadas - [[T1559.002-inter-process-communication-dde|T1559.002 — DDE]] - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[T1566.001-phishing-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1204-user-execution|T1204 — User Execution]] ## Analytics Relacionadas - [[an1393-analytic-1393|AN1393 — Analytic 1393]] --- *Fonte: [MITRE ATT&CK — DET0504](https://attack.mitre.org/detectionstrategies/DET0504)*