det0566-template-injection-detection-windows

# DET0566 — Templaté Injection Detection - Windows ## Descrição Templaté Injection ([[t1221-template-injection|T1221]]) é uma técnica utilizada em ataques de phishing onde documentos Office (Word, Excel) são configurados para carregar templates remotos ao serem abertos. O documento malicioso contém uma referência a uma URL externa no campo `Target` do relacionamento `word/_rels/settings.xml.rels`. Quando o usuário abre o arquivo, o Word tenta baixar o templaté da URL remota, que pode retornar um templaté contendo macros ou exploits. Grupos como [[g0007-apt28]] e [[g0016-apt29]] utilizam essa técnica para contornar proteções de macro no documento original. A vantagem da técnica para o adversário é que o documento inicial parece benigno — sem macros visíveis — e pode não ser detectado por scanners de email que inspecionam o arquivo localmente. O download do templaté malicioso ocorre apenas na execução. No Windows, o processo `winword.exe` realizará uma requisição HTTP(S) para o servidor controlado pelo atacante para buscar o templaté `.dotm` real. A detecção eficaz monitora conexões de rede originadas por processos Office (`winword.exe`, `excel.exe`) para URLs externas durante a abertura de documentos, especialmente para domínios recém-registrados ou com reputação baixa. Inspeção de arquivos OOXML para referências de templaté remotas em gateways de email é uma camada de defesa complementar. ## Indicadores de Detecção - `winword.exe` realizando requisição HTTP/HTTPS para domínio externo ao abrir documento - Arquivo `.docx` com referência a URL remota em `word/_rels/settings.xml.rels` - Download de arquivo `.dotm` ou `.dot` de servidor externo por processo Office - Evento de rede Sysmon (Event ID 3) com `winword.exe` como processo de origem - Templaté baixado de IP sem resolução DNS reversa ou de hosting bulletproof - Macro executada proveniente de templaté remoto recém-carregado ## Técnicas Relacionadas - [[t1221-template-injection|T1221 — Templaté Injection]] - [[T1566.001-phishing-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[T1059.005-command-scripting-visual-basic|T1059.005 — Visual Basic]] - [[T1204.002-user-execution-malicious-file|T1204.002 — Malicious File]] - [[T1071.001-application-layer-protocol-web-protocols|T1071.001 — Web Protocols]] ## Analytics Relacionadas - [[an1564-analytic-1564|AN1564 — Analytic 1564]] --- *Fonte: [MITRE ATT&CK — DET0566](https://attack.mitre.org/detectionstrategies/DET0566)*