# T1137.006 - Add-ins (Suplementos Office) ## Técnica Pai Sub-técnica de [[t1137-office-application-startup|T1137 - Inicialização de Aplicativo Office]], que cobre todos os mecanismos de persistência associados ao Microsoft Office. ## Descrição Adversários abusam de suplementos (add-ins) do Microsoft Office para manter persistência em sistemas comprometidos. Os add-ins estendem a funcionalidade dos aplicativos Office - Word, Excel, Outlook e PowerPoint - e são carregados automaticamente toda vez que o aplicativo é iniciado, tornando-os vetores ideais de persistência silenciosa. Existem múltiplos formatos de add-ins exploráveis: - **WLL/XLL** - bibliotecas DLL nativas carregadas pelo Word e Excel respectivamente - **VBA Add-ins** - módulos de macro persistidos entre sessões - **COM Add-ins** - componentes registrados no Windows Registry, carregados via `HKCU\Software\Microsoft\Office\...\Addins` - **VSTO Add-ins** - baseados em .NET, carregados pelo Visual Studio Tools for Office - **Outlook Add-ins** - integram ao cliente de e-mail, com acesso a caixas postais e calendário No contexto latino-americano, essa técnica é especialmente relevante em ambientes corporativos que utilizam Office para gestão financeira, ERP integrado e comunicação com órgãos reguladores como a [[receita-federal|Receita Federal]] e o [[bacen|Banco Central]]. Um add-in malicioso em Excel ou Outlook instalado em uma máquina de contador ou tesoureiro pode comprometer dados fiscais, contratos e credenciais bancárias sem levantar suspeita. ## Contexto Brasil/LATAM No Brasil, a técnica de add-ins maliciosos do Office possui relevância particular devido ao uso intensivo de planilhas Excel customizadas com macros para processos críticos de negócio - desde conciliação financeira até integração com sistemas legados de ERP. Empresas dos setores [[financial|financeiro]], [[industria|industrial]] e de [[government|governo]] frequentemente operam com versões desatualizadas do Office e políticas permissivas de execução de macros, criando terreno fértil para persistência via add-ins. Campanhas de bankers brasileiros - como aquelas operadas por grupos que distribuem trojans como o [[s0531-grandoreiro|Grandoreiro]] e o [[mekotio|Mekotio]] - têm utilizado add-ins de Excel (.xlam) como mecanismo de persistência após o comprometimento inicial via [[t1566-phishing|T1566 - Phishing]] com tema de boletos e notas fiscais eletrônicas. O add-in malicioso é instalado no perfil do usuário e ativado a cada abertura do Excel, monitorando sessões bancárias abertas no navegador e capturando credenciais via [[t1056-input-capture|T1056 - Input Capture]]. No setor público brasileiro, a integração de planilhas Excel com sistemas como SIAFI, SIAPE e plataformas estaduais de gestão por meio de add-ins COM legados cria vetores de comprometimento que permanecem ativos mesmo após reformatações parciais de estações de trabalho - pois os add-ins registrados em `HKCU` sobrevivem à reinstalação de aplicativos quando o perfil de usuário de domínio é preservado. O grupo [[g0019-naikon|Naikon]], associado à espionagem de Estado na região Ásia-Pacífico, utilizou [[s1142-lunarmail|LunarMail]] - um add-in Outlook malicioso - como canal de C2 persistente, comúnicando-se via e-mails legítimos para dificultar a detecção por soluções de segurança de rede. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Acesso ao sistema<br/>com Office instalado] B --> C{Tipo de Add-in} C --> D[XLL/WLL<br/>DLL nativa] C --> E[VBA Add-in<br/>.xlam/.dotm] C --> F[COM Add-in<br/>Registro Windows] C --> G[VSTO Add-in<br/>.NET assembly] C --> H[Outlook Add-in<br/>caixa postal] D --> I[Cópia para pasta<br/>de suplementos do Office] E --> I F --> J[Chave de registro<br/>HKCU\\Software\\Microsoft\\Office] G --> I H --> K[Registro no perfil<br/>do Outlook] I --> L([Execução automática<br/>a cada abertura do Office]) J --> L K --> L L --> M[Persistência estabelecida<br/>Payload ativo] M --> NExecução de comandos\ne comúnicação C2] ``` ## Como Funciona **Passo 1 - Instalação do add-in malicioso** O adversário deposita um arquivo de add-in (`.xll`, `.xlam`, `.dotm`, ou DLL COM) em uma pasta monitorada pelo Office - tipicamente `%APPDATA%\Microsoft\AddIns\` ou `%PROGRAMFILES%\Microsoft Office\`. Alternativamente, para COM add-ins, cria entradas no registro em `HKCU\Software\Microsoft\Office\<versão>\<App>\Addins\<ProgID>` com `LoadBehavior = 3` (carga automática). **Passo 2 - Persistência via inicialização automática** A cada abertura do aplicativo Office afetado, o runtime carrega todos os add-ins registrados antes de exibir a interface ao usuário. O payload é executado no contexto do processo do Office (`WINWORD.EXE`, `EXCEL.EXE`, `OUTLOOK.EXE`), herdando as permissões do usuário logado e evadindo controles que monitoram apenas processos externos suspeitos. **Passo 3 - Execução de payload e C2** Com o add-in carregado, o adversário pode executar código arbitrário, capturar teclas digitadas, acessar documentos abertos, exfiltrar dados por e-mail (no caso de Outlook add-ins) ou estabelecer canal reverso de comando e controle. O [[s1142-lunarmail|LunarMail]] e o [[s1143-lunarloader|LunarLoader]], usados pelo [[g0019-naikon|Naikon]], demonstram essa abordagem: o malware operava inteiramente dentro do processo Outlook, enviando e recebendo comandos via e-mails legítimos em pastas específicas da caixa de entrada. ## Detecção ```yaml title: Possível Add-in Malicioso do Office Carregado id: a3f2b1c0-7e4d-4a9f-8b3c-2d1e6f05a8c7 status: experimental description: > Detecta criação ou modificação de arquivos de add-in do Office em pastas padrão de suplementos, o que pode indicar tentativa de persistência via T1137.006. logsource: category: file_event product: windows detection: selection_paths: TargetFilename|contains: - '\Microsoft\AddIns\' - '\Microsoft\Excel\XLSTART\' - '\Microsoft\Word\STARTUP\' - '\Microsoft\Outlook\VbaProject.OTM' selection_extensions: TargetFilename|endswith: - '.xll' - '.xlam' - '.dotm' - '.ppam' - '.wll' condition: selection_paths and selection_extensions falsepositives: - Implantação legítima de add-ins corporativos via GPO ou SCCM - Desenvolvedores instalando suplementos próprios level: medium tags: - attack.persistence - attack.t1137.006 ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Usar EDR com prevenção comportamental para bloquear carregamento de DLLs não assinadas em processos Office. Configurar políticas de execução de macros (Trust Center) para bloquear macros de fontes desconhecidas. | | - | Política de Group Policy | Desabilitar add-ins não gerenciados via GPO (`User Configuration > Administrative Templates > Microsoft Office`). Usar listas de permissão de COM Add-ins gerenciadas centralmente. | | - | Monitoramento de Registro | Auditar alterações em `HKCU\Software\Microsoft\Office\<versão>\<App>\Addins` e `HKLM\Software\Microsoft\Office\<versão>\<App>\Addins` para detectar registros não autorizados. | ## Referências *Fonte: [MITRE ATT&CK - T1137.006](https://attack.mitre.org/techniques/T1137/006)*