det0519-detect-persistence-via-office-template-macro-injection-or-registry-hijac

# DET0519 — Detect Persistence via Office Templaté Macro Injection or Registry Hijack ## Descrição Adversários estabelecem persistência em ambientes Windows modificando templates do Microsoft Office (`.dotm`, `.xltm`) para conter macros VBA maliciosas que são executadas automaticamente toda vez que o aplicativo é aberto. Essa técnica, classificada como [[t1137-office-application-startup|T1137 — Office Application Startup]], é particularmente eficaz porque o usuário nem precisa abrir um arquivo malicioso — a execução ocorre na inicialização do próprio Office. Grupos como [[g0016-apt29|APT29]] e [[g0046-fin7|FIN7]] utilizam essa abordagem para manter acesso persistente em ambientes corporativos onde o Office está onipresente. Complementarmente, o sequestro de registro (Registry Hijack) abusa de chaves do Windows Registry como `HKCU\Software\Microsoft\Office\<versão>\Word\Options\GlobalDotPrompt` para redirecionar o carregamento de templates para localização controlada pelo atacante. A detecção requer monitoramento tanto do sistema de arquivos (criação/modificação em `%APPDATA%\Microsoft\Templates\`) quanto de chaves de registro específicas do Office. A correlação entre modificações nesses pontos e a execução subsequente de processos filhos do Office (como `cmd.exe` ou `powershell.exe`) é o principal sinal de comprometimento. No contexto LATAM, campanhas de spear-phishing direcionadas ao setor financeiro brasileiro frequentemente entregam documentos Office que, após execução inicial, modificam templates para garantir persistência. O monitoramento com [[_data-sources|data sources]] como File Monitoring e Registry Monitoring é fundamental para identificar essas ameaças antes que se estabeleçam completamente. ## Indicadores de Detecção - Criação ou modificação de arquivos `.dotm`/`.xltm`/`.xlam` em `%APPDATA%\Microsoft\Templates\` por processos não-Office - Modificação de chaves de registro `HKCU\Software\Microsoft\Office\*\Word\Options` por processos suspeitos - Processo `WINWORD.EXE` ou `EXCEL.EXE` gerando processos filhos incomuns (`cmd.exe`, `powershell.exe`, `wscript.exe`) - Presença de módulos VBA com chamadas a `Shell()`, `CreateObject()` ou `WScript.Shell` em templates - Acesso a templates de rede ou caminhos UNC no carregamento inicial do Office - Event ID 4657 (registro modificado) ou Sysmon Event ID 13 em chaves de persistência do Office ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] — técnica principal coberta por esta estratégia - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] — persistência via gatilhos de sistema - [[t1112-modify-registry|T1112 — Modify Registry]] — modificação de chaves de registro para persistência - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de macros VBA/scripts - [[t1566-phishing|T1566 — Phishing]] — vetor de entrega inicial frequentemente associado ## Analytics Relacionadas - [[an1436-analytic-1436|AN1436 — Analytic 1436]] - [[an1437-analytic-1437|AN1437 — Analytic 1437]] --- *Fonte: [MITRE ATT&CK — DET0519](https://attack.mitre.org/detectionstrategies/DET0519)*