Descripción de la Tecnica
Office Application Startup es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, que se enmarca dentro del grupo attack-pattern. Esta técnica permite a los atacantes mantener persistencia en un entorno de red al aprovechar la ejecución de aplicaciones basadas en Microsoft Office, como Word, Excel o Outlook. Dado que las herramientas de Office son comunes en redes empresariales, este método se utiliza para garantizar que el malware o código malicioso se active automaticamente cuando se inician estas aplicaciones.
Como Funciona
El atacante puede aprovechar mecanismos como macros de plantilla de Office o add-ins para instalar código malicioso en el sistema. Cuando un usuario inicia una aplicación de Office, el malware se ejecuta automáticamente, permitiendo al atacante mantener acceso a la red. Además, características como las tareas programadas en Outlook pueden ser utilizadas para prolongar la persistencia. La técnica está relacionada con T1137 del MITRE ATT&CK, que describe el uso de funcionalidades de Office para lograr persistencia.
Actores que la Utilizan
No se disponen datos públicos sobre actores específicos asociados a esta técnica. Sin embargo, es conocido que amenazas como grupos cibernéticos o TTPs (Tactics, Techniques, and Procedural) de alto nivel pueden aprovechar este método para mantener acceso a sistemas en redes empresariales.
Detección
La detección implica monitorear el uso inusual de macros en plantillas de Office o la instalación de add-ins no autorizados. También es importante verificar la ejecución de archivos .docx, .xlsx o .msg (para Outlook) que contengan código malicioso. Herramientas de análisis de flujo de trabajo y reglas de detección basadas en comportamiento pueden ayudar a identificar actividades sospechosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, es fundamental mantener actualizado el software Office y habilitar las restricciones de seguridad dentro de las aplicaciones. También se recomienda: - Limitar el acceso a archivos no autorizados en redes empresariales. - Monitorear actividades anómalas en la ejecución de macros o add-ins. - Implementar políticas de seguridad para evitar la instalación de componentes no verificados. - Utilizar soluciones de detección basadas en comportamiento (EDR) que puedan identificar patrones sospechosos de persistencia.