ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1173

术语表: /attack/glossary

动态数据交换

Windows 动态数据交换 (DDE) 是用于应用程序之间的一次性和/或连续进程间通信 (IPC) 的客户端-服务器协议。一旦建立连接,应用程序就可以自主地交换由字符串、温数据链接(数据项更改时的通知)、热数据链接(数据项更改的副本)和命令执行请求组成的事务。

对象链接与嵌入 (OLE),或链接文档间数据的功能,最初是通过 DDE 实现的。尽管 DDE 已被 COM 取代,但可以通过注册表键在 Windows 10 和大部分 Microsoft Office 2016 中启用它。

攻击者可以使用 DDE 执行任意命令。Microsoft Office 文档可以通过 DDE 命令 直接或通过嵌入式文件 被污染,并用于通过钓鱼活动或托管 Web 内容交付执行,避免使用 Visual Basic for Applications (VBA) 宏。DDE 也可以被操作受攻击机器的攻击者利用,该攻击者没有直接的命令行执行权限。

缓解

可以将 Microsoft Office 功能控制安全性对应的注册表项设置为禁用 DDE/OLE 自动执行。 Microsoft 还创建了注册表项,以完全禁用 Word 和 Excel 中的 DDE 执行。

确保已启用受保护的视图 并考虑禁用未在受保护的视图中注册的 Office 程序(如 OneNote)中的嵌入文件。

在 Windows 10 上,启用攻击面减少 (ASR) 规则,以防止 DDE 攻击和从 Office 程序生成子进程。

检测

可以扫描 OLE 和 Office Open XML 文件中的“DDEAUTO”、“DDE”和其他表明 DDE 执行的字符串。

监视 Microsoft Office 应用程序加载 DLL 和通常与应用程序无关的其他模块。 监视从 Microsoft Office 应用程序生成的异常进程(如 cmd.exe)。