# T1221 - Templaté Injection ## Descrição Templaté Injection é uma técnica de evasão de defesa na qual adversários criam ou modificam referências em templates de documentos do Microsoft Office para ocultar código malicioso ou forçar tentativas de autenticação. O formato Office Open XML (OOXML), utilizado por arquivos `.docx`, `.xlsx` e `.pptx`, é baseado em XML empacotado em arquivos ZIP. Dentro dessa estrutura, partes do documento podem referênciar recursos externos por meio de URLs - incluindo arquivos de templaté remotos que são carregados automaticamente quando o documento é aberto. Adversários injetam URLs maliciosas nessas referências de templaté, de forma que quando a vítima abre o documento, o payload é buscado e executado em tempo real a partir de um servidor controlado pelo atacante. A técnica é particularmente eficaz para evasão de detecção estática porque o documento entregue à vítima não contém macros VBA, scripts ou código executável diretamente - apenas uma referência a um recurso remoto aparentemente legítimo. Ferramentas de detecção baseadas em assinaturas e sandboxes com acesso restrito à internet podem não identificar a ameaça antes que o payload sejá carregado no ambiente da vítima. A técnica também se aplica a arquivos `.rtf`, onde o campo de controle `\templaté` pode ser manipulado para apontar para um servidor remoto. Além da execução de payload, Templaté Injection pode ser usada para forçar autenticação ([[t1187-forced-authentication|T1187 - Forced Authentication]]) ao injetar uma URL SMB que captura hashes NTLMv2 da vítima quando o documento é aberto. Documentos maliciosos são frequentemente distribuídos via [[t1566-phishing|T1566 - Phishing]] ou [[t1080-taint-shared-content|T1080 - Taint Shared Content]]. ## Como Funciona A mecânica da técnica explora o comportamento padrão do Microsoft Office de buscar recursos externos referênciados em templates. Em um documento `.docx` legítimo, o arquivo `word/_rels/settings.xml.rels` pode conter uma relação apontando para um templaté `.dotx` remoto - por exemplo, um modelo corporativo compartilhado. O adversário cria ou modifica esse relacionamento para apontar para uma URL sob seu controle. Quando a vítima abre o documento, o Office faz uma requisição HTTP/HTTPS (ou SMB) para buscar o templaté referênciado. Nesse momento, o servidor do atacante entrega um arquivo de templaté que contém código malicioso - tipicamente uma macro VBA habilitada, um exploit para uma vulnerabilidade do processador de documentos, ou simplesmente um arquivo que aciona um handler de protocolo (como `ms-msdt://` para explorar vulnerabilidades como Follina/CVE-2022-30190). O processo ocorre de forma transparente para o usuário, que apenas vê o documento principal sendo aberto. Para arquivos `.rtf`, a manipulação ocorre no nível de bytes: o adversário edita o arquivo para inserir ou substituir o campo `{\*\templaté URL}` apontando para um servidor remoto. O Word processa esse campo automaticamente ao abrir o arquivo. Ferramentas como `Word Doc Templaté Injector` e frameworks como [[s0363-empire|Empire]] e [[s0154-cobalt-strike|Cobalt Strike]] oferecem módulos específicos para geração de documentos com Templaté Injection, reduzindo a barreira técnica para execução da técnica. ## Attack Flow ```mermaid graph TB A[Adversário cria documento Office<br/>aparentemente legítimo] --> B[Injeta URL maliciosa<br/>no templaté reference OOXML ou RTF] B --> C[Entrega do documento via phishing<br/>ou conteúdo compartilhado] C --> D[Vítima abre o documento<br/>Office busca templaté remoto] D --> E{Tipo de payload} E --> F[Execução de macro VBA<br/>ou exploit remoto] E --> G[Captura de hash NTLMv2<br/>Forced Authentication via SMB] F --> H[Acesso inicial estabelecido<br/>payload executado sem macro local] G --> I[Credenciais capturadas<br/>para movimento lateral] ``` ## Exemplos de Uso **APT28 (Fancy Bear)** - O grupo russo [[g0007-apt28|APT28]], vinculado ao GRU, utilizou Templaté Injection em campanhas de espionagem contra alvos governamentais e militares europeus. Documentos `.docx` com referências de templaté maliciosas foram usados para entregar implantes em redes de interesse estratégico, explorando a confiança dos usuários em documentos que pareciam provir de fontes internas. **Gamaredon Group** - O [[g0047-gamaredon|Gamaredon Group]], ator ucraniano com foco em alvos do governo ucraniano e entidades relacionadas, utilizou extensivamente Templaté Injection combinada com documentos RTF modificados. A técnica permite que o grupo mantenha infraestrutura de C2 dinâmica - basta alterar o payload no servidor; os documentos já distribuídos automaticamente buscam a versão atualizada. **DarkHydrus** - O grupo [[g0079-darkhydrus|DarkHydrus]], com atuação no Oriente Médio, utilizou Templaté Injection específicamente para captura de credenciais NTLMv2 via requisições SMB forçadas. Documentos entregues a funcionários governamentais faziam referência a templates em servidores SMB controlados pelo atacante, capturando hashes que eram posteriormente quebrados offline. **Tropic Trooper** - O [[g0081-tropic-trooper|Tropic Trooper]] (também conhecido como KeyBoy), ativo na Ásia Oriental, utilizou esta técnica contra organizações governamentais e de saúde. O malware [[s0631-chaes|Chaes]], associado a campanhas contra o setor financeiro brasileiro, utiliza mecanismos similares de injeção de templaté para evasão de detecção estática. **WarzoneRAT em LATAM** - O [[s0670-warzonerat|WarzoneRAT]], RAT popularmente utilizado em campanhas contra o Brasil e países da América Latina, tem sido distribuído via documentos com Templaté Injection que buscam stagers remotos antes de instalar o implante final, evitando que o payload completo sejá detectado no documento inicial. ## Detecção ```yaml title: Detecção de Templaté Injection em Documentos Office status: stable logsource: category: network_connection product: windows detection: selection_process: Image|endswith: - \WINWORD.EXE - \EXCEL.EXE - \POWERPNT.EXE Initiated: 'true' selection_suspicious_dest: DestinationPort: - 80 - 443 - 445 filter_legit: DestinationHostname|endswith: - .microsoft.com - .office.com - .sharepoint.com condition: selection_process and selection_suspicious_dest and not filter_legit level: medium falsepositives: - Templates corporativos legítimos hospedados externamente - Atualizações de complementos Office ``` ```yaml title: Acesso SMB Iniciado por Processo Office - Possível Forced Authentication status: experimental logsource: category: network_connection product: windows detection: selection: Image|endswith: - \WINWORD.EXE - \EXCEL.EXE DestinationPort: 445 Initiated: 'true' filter_internal: DestinationIp|startswith: - '10.' - '192.168.' - '172.16.' condition: selection and not filter_internal level: high falsepositives: - Ambientes com templates hospedados em servidores SMB externos legítimos ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1049-antivirusantimalware\|M1049]] | Antivirus/Antimalware | Utilizar soluções com detecção comportamental e sandboxing dinâmico que análisem documentos Office em ambientes isolados com acesso à internet monitorado. | | [[m1031-network-intrusion-prevention\|M1031]] | Network Intrusion Prevention | Inspecionar tráfego de rede saindo de processos Office; bloquear requisições HTTP/HTTPS e SMB não autorizadas originadas por aplicações de documentos. | | [[m1017-user-training\|M1017]] | User Training | Treinar usuários para não abrir documentos de fontes desconhecidas; orientar sobre os riscos de documentos que solicitam atualização de conteúdo externo. | | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature or Program | Desabilitar carregamento automático de templates externos via Group Policy (configuração `Block macros from running in Office files from the Internet`); restringir acesso SMB externo via firewall. | ## Contexto Brasil/LATAM Templaté Injection é uma das técnicas mais utilizadas em campanhas de phishing direcionadas ao Brasil e à [[_sectors|América Latina]], especialmente contra os setores [[financial|financeiro]], [[government|governo]] e saúde. A alta taxa de adoção de Microsoft Office no ambiente corporativo brasileiro - combinada com a cultura organizacional de compartilhamento de documentos via e-mail - cria um terreno fértil para essa técnica. O malware [[s0631-chaes|Chaes]], identificado pelo [[sources|CERT.br]] e por pesquisadores da Kaspersky como uma ameaça com foco específico no Brasil, utiliza mecanismos de Templaté Injection para distribuir seus componentes de roubo de credenciais bancárias. O [[s0670-warzonerat|WarzoneRAT]], igualmente ativo no mercado brasileiro de crime cibernético, é frequentemente entregue via documentos Office com referências de templaté maliciosas que buscam o payload final de servidores de staging. Organizações brasileiras devem priorizar a configuração de políticas de Acesso Condicional e proteção avançada de e-mail (Microsoft Defender for Office 365 ou equivalente), além de implementar inspeção de tráfego TLS na saída de rede para identificar chamadas externas suspeitas originadas por processos Office. O contexto regulatório da [[lgpd|LGPD]] reforça a necessidade de controles preventivos, dado que incidentes originados por Templaté Injection frequentemente resultam em comprometimento de dados pessoais. ## Referências - [[t1566-phishing|T1566 - Phishing]] (vetor de distribuição mais comum) - [[t1187-forced-authentication|T1187 - Forced Authentication]] (objetivo alternativo da técnica) - [[t1080-taint-shared-content|T1080 - Taint Shared Content]] (vetor de distribuição alternativo) - [[g0007-apt28|APT28]] (ator de ameaça que utiliza esta técnica) - [[g0047-gamaredon|Gamaredon Group]] (ator de ameaça que utiliza esta técnica) - [[s0631-chaes|Chaes]] (malware distribuído via Templaté Injection no Brasil) - [[s0670-warzonerat|WarzoneRAT]] (malware distribuído via Templaté Injection na LATAM) - [[Antimalware]] (mitigação) - [[s0154-cobalt-strike|Cobalt Strike]] (framework com módulos de Templaté Injection) *Fonte: MITRE ATT&CK - T1221*