# T1137 - Office Application Startup ## Descrição Adversários exploram mecanismos de inicialização do Microsoft Office para estabelecer **persistência** em sistemas Windows. O pacote Office oferece múltiplos pontos de entrada que executam código automaticamente quando um aplicativo é aberto - macros, add-ins, formulários e regras de cliente de e-mail. O conjunto de ferramentas afetadas inclui Word, Excel, PowerPoint e, principalmente, o Outlook. Recursos como regras de cliente, formulários personalizados e a Home Page do Outlook foram documentados em uso por atores de ameaça para manter acesso persistente mesmo após reinicializações do sistema. Os mecanismos funcionam tanto em ambientes locais quanto em implementações do Microsoft 365 (Office 365). Por operar dentro de aplicativos legítimos e amplamente utilizados em ambientes corporativos, essa técnica apresenta alto potencial de evasão: a execução do código malicioso ocorre sob o contexto do usuário, com as permissões correspondentes, e misturada ao comportamento normal do Office. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Aplicativo Office Aberto] B --> C{Vetor de Persistência} C --> D[Macro em Templaté Normal.dotm] C --> E[Add-in Malicioso .xlam/.ppam] C --> F[Formulário Outlook Personalizado] C --> G[Regra de Cliente Outlook] C --> H[Home Page do Outlook] C --> I[Chave Office Test no Registro] D --> J([Código Executado no Contexto do Usuário]) E --> J F --> J G --> J H --> J I --> J J --> K[Payload / RAT / Backdoor] ``` ## Sub-técnicas - [[t1137-001-office-template-macros|T1137.001 - Office Templaté Macros]] - [[t1137-002-office-test|T1137.002 - Office Test]] - [[t1137-003-outlook-forms|T1137.003 - Outlook Forms]] - [[t1137-004-outlook-home-page|T1137.004 - Outlook Home Page]] - [[t1137-005-outlook-rules|T1137.005 - Outlook Rules]] - [[t1137-006-add-ins|T1137.006 - Add-ins]] ## Detecção ### Fontes de Dados Relevantes - **Registro do Windows:** monitorar criação e modificação de chaves sob `HKCU\Software\Microsoft\Office\` e `HKLM\Software\Microsoft\Office\` - **Sistema de Arquivos:** alertar sobre criação ou modificação de arquivos em diretórios de templaté e startup do Office (`%APPDATA%\Microsoft\Templates\`, `%APPDATA%\Microsoft\AddIns\`) - **Execução de Comandos:** identificar processos filhos inesperados originados de `WINWORD.EXE`, `EXCEL.EXE`, `OUTLOOK.EXE` ou `POWERPNT.EXE` - **Eventos de E-mail:** auditar criação e modificação de regras e formulários do Outlook ### Indicadores Comportamentais - Processos do Office gerando filhos como `cmd.exe`, `powershell.exe` ou `wscript.exe` - Modificação de `Normal.dotm` por um processo que não sejá o próprio Word em uso regular - Formulários Outlook com campos de script VBScript ativo - Chave `HKCU\...\Outlook\WebView` apontando para URLs externas ou locais suspeitas ## Mitigação | ID | Mitigação | Aplicação para T1137 | |----|-----------|----------------------| | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Desabilitar ou Remover Recurso | Desabilitar macros e add-ins não assinados via política de grupo | | [[m1040-behavior-prevention-on-endpoint\|M1040]] | Prevenção Comportamental no Endpoint | EDR com detecção de execução de macros suspeitas | | [[m1051-update-software\|M1051]] | Atualizar Software | Manter Office atualizado; versões antigas têm mais vetores exploráveis | | [[m1054-software-configuration\|M1054]] | Configuração de Software | Enforçar política de assinatura de macros; bloquear formulários não confiáveis | ## Threat Actors que Usam - [[g0050-apt32|APT32]] - grupo vietnamita documentado utilizando macros maliciosas em documentos Office para persistência e execução inicial - [[g0047-gamaredon|Gamaredon Group]] - ator russo focado em Ucrânia, extensivamente documentado com campanhas de spear-phishing usando templates e macros Office maliciosos ## Contexto LATAM O uso de documentos Office maliciosos é um dos vetores mais comuns em campanhas de phishing direcionadas ao [[_sectors|setor financeiro]] e ao [[government|setor governamental]] na América Latina. Grupos como o [[g0032-lazarus-group|Lazarus Group]] e atores de [[espionagem]] alinhados a estados nacionais utilizam variações dessa técnica em ataques contra [[latam|Brasil]] e países vizinhos. Add-ins e macros em documentos fiscais (NF-e, SPED, DARF) são vetores observados regionalmente. --- *Fonte: MITRE ATT&CK - T1137 (v16.2)*