# T1137.002 - Office Test ## Técnica Pai Esta é uma sub-técnica de [[t1137-office-application-startup|T1137 - Inicialização de Aplicativo Office]]. ## Descrição Adversários abusam da chave de Registro **"Office Test"** do Microsoft Office para obter persistência em sistemas comprometidos. Essa chave, destinada originalmente a testes e debug internos da Microsoft durante o desenvolvimento do Office, permite específicar uma DLL arbitrária que será carregada automaticamente toda vez que qualquer aplicativo Office (Word, Excel, PowerPoint, Outlook) for iniciado. A chave **não existe por padrão** em instalações normais do Office - o adversário precisa criá-la manualmente. Isso torna a técnica particularmente eficaz para bypass de defesas que procuram modificações em chaves de Registro conhecidas, pois a ausência da chave é o estado esperado. Existem variantes por escopo: - **HKCU** (usuário atual - sem privilégio elevado): `HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf` - **HKLM** (sistema inteiro - requer privilégio elevado): `HKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf` A DLL específicada na chave é carregada no espaço de processo do aplicativo Office, herdando todas as suas permissões e contexto de execução. Isso facilita ações como captura de credenciais, acesso a documentos sensíveis e comunicação C2 disfarçada de tráfego legítimo do Office. **Contexto Brasil/LATAM:** O [[g0007-apt28|APT28]] (Fancy Bear), principal grupo documentado usando essa técnica, tem histórico de operações de espionagem contra alvos governamentais, militares e do setor de energia - setores relevantes na América Latina. No Brasil, organizações que usam o Microsoft Office em ambientes Windows sem EDR moderno são especialmente vulneráveis. Campanhas de spear-phishing que exploram documentos Office maliciosos frequentemente combinam essa técnica com [[t1566-phishing|T1566 - Phishing]] para estabelecer persistência discreta pós-comprometimento. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Spear-phishing / documento Office malicioso"] --> B B["Criação da chave de Registro<br/>HKCU\\Software\\Microsoft\\Office test\\Special\\Perf"] --> C C["DLL maliciosa registrada<br/>Valor aponta para C:\\caminho\\malware.dll"] --> D D["Trigger automático<br/>Usuário abre Word, Excel ou Outlook"] --> E E["Carga da DLL no processo Office<br/>Execução no contexto do aplicativo"] E --> F["Impacto<br/>C2 / Captura de dados / Escalada"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#f39c12,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#2c3e50,color:#fff ``` ## Como Funciona **Passo 1 - Criação da chave de Registro (escopo de usuário, sem privilégios)** O adversário cria a chave Office Test e aponta o valor padrão para a DLL maliciosa: ```powershell # PowerShell - criar chave Office Test no escopo do usuário atual $regPath = "HKCU:\Software\Microsoft\Office test\Special\Perf" New-Item -Path $regPath -Force | Out-Null Set-ItemProperty -Path $regPath -Name "(Default)" -Value "C:\Users\Public\malware.dll" ``` **Passo 2 - Verificação via reg.exe** ```cmd :: Confirmar que a chave foi criada corretamente reg query "HKCU\Software\Microsoft\Office test\Special\Perf" ``` **Passo 3 - Acionamento automático da persistência** ```text Após a criação da chave, o adversário aguarda o usuário abrir qualquer aplicativo Office. A DLL específicada é carregada automaticamente no processo (WINWORD.EXE, EXCEL.EXE, etc.), executando o payload sem interação adicional e sem alertas visíveis ao usuário. ``` ## Detecção **Indicadores de comprometimento:** - Presença da chave `HKCU\Software\Microsoft\Office test\Special\Perf` ou `HKLM\...` - Valor da chave apontando para DLLs em caminhos suspeitos (`%TEMP%`, `%APPDATA%`, diretórios públicos) - Processos Office (`WINWORD.EXE`, `EXCEL.EXE`) carregando DLLs não assinadas pela Microsoft - Criação da chave correlacionada com acesso a documentos Office maliciosos ```yaml # Sigma Rule - Office Test Registry Key Persistence title: Office Test Registry Key Persistence id: b3c7a891-2d4f-4e1b-9f7a-3e5d8c6b4a12 status: experimental description: Detecta criação ou modificação da chave de registro Office Test usada para DLL persistence logsource: category: registry_set product: windows detection: selection: TargetObject|contains: - '\Software\Microsoft\Office test\Special\Perf' condition: selection falsepositives: - Desenvolvedores Microsoft testando builds do Office em ambiente de desenvolvimento level: high tags: - attack.persistence - attack.t1137.002 --- # Sigma Rule - Office Processo Carregando DLL Não Assinada title: Office Process Loading Unsigned DLL from Suspicious Path id: f2a9d3e4-8c1b-4f7a-b6d5-9e2c4a8f1b37 status: experimental description: Detecta aplicativos Office carregando DLLs de caminhos temporários ou perfis de usuário logsource: category: image_load product: windows detection: selection_process: Image|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' selection_path: ImageLoaded|contains: - '\AppData\Local\Temp\' - '\AppData\Roaming\' - '\Users\Public\' filter_signed: Signed: 'true' condition: selection_process and selection_path and not filter_signed falsepositives: - Add-ins legítimos de terceiros instalados em caminhos de usuário level: high tags: - attack.persistence - attack.t1137.002 ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar Group Policy para restringir criação de chaves de Registro relacionadas ao Office por usuários não administradores | | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | EDR com capacidade de bloquear carregamento de DLLs não assinadas em processos Office | ## Threat Actors que Usam - [[g0007-apt28|APT28]] (Fancy Bear / Sofacy) - grupo de espionagem russo documentado usando essa técnica em operações contra alvos governamentais e militares ## Software Associado Nenhum software específico documentado - a técnica é implementada diretamente via manipulação de Registro, sem dependência de ferramentas externas. --- *Fonte: [MITRE ATT&CK - T1137.002](https://attack.mitre.org/techniques/T1137/002)*