Technique - T1173-

T1173 - Dynamic Data Exchange

概要

Windows Dynamic Data Exchange (DDE) is a client-server protocol for one-time and/or continuous inter-process communication (IPC) between applications. Once a link is established, applications can autonomously exchange transactions consisting of strings, warm data links (notifications when a data item changes), hot data links (duplications of changes to a data item), and requests for command execution.

Object Linking and Embedding (OLE), or the ability to link data between documents, was originally implemented through DDE. Despite being superseded by COM, DDE may be enabled in Windows 10 and most of Microsoft Office 2016 via Registry keys. (Citation: BleepingComputer DDE Disabled in Word Dec 2017) (Citation: Microsoft ADV170021 Dec 2017) (Citation: Microsoft DDE Advisory Nov 2017)

Adversaries may use DDE to execute arbitrary commands. Microsoft Office documents can be poisoned with DDE commands (Citation: SensePost PS DDE May 2016) (Citation: Kettle CSV DDE Aug 2014), directly or through embedded files (Citation: Enigma Reviving DDE Jan 2018), and used to deliver execution via phishing campaigns or hosted Web content, avoiding the use of Visual Basic for Applications (VBA) macros. (Citation: SensePost MacroLess DDE Oct 2017) DDE could also be leveraged by an adversary operating on a compromised machine who does not have direct access to command line execution.

管理者によるコメント

T1173「Dynamic Data Exchange」（DDE） は、Windowsの古いプロセス間通信メカニズムである DDE（動的データ交換） を悪用して、悪意のあるコマンドを実行する手法です。

1. 概要

この手法で攻撃者は、「Office文書のマクロを使わずに、外部コマンドを実行させること」を実現します。

何を実現できるのか

マクロなしの攻撃: 多くの組織がVBAマクロを無効化していますが、DDEはマクロ（プログラム）ではなく「文書内のデータリンク機能」であるため、セキュリティ制限をすり抜けることが可能です。
コード実行: Word、Excel、Outlookなどの文書を開いた際、自動的に PowerShell や cmd.exe を起動させ、マルウェアをダウンロード・実行させます。
検知の回避: 実行ファイル（.exe）をメールに添付する必要がないため、メールフィルターでの検知が困難です。

2. 攻撃の仕組みと流れ

DDEは、あるアプリケーション（例：Excel）から別のアプリケーション（例：外部ツール）へデータを要求するための仕組みです。攻撃者はこの「要求先」に悪意のあるコマンドを仕込みます。

悪意ある文書の作成:
- Office文書内のフィールドコードや数式に、DDEの命令を埋め込みます。
- 例（Wordのフィールドコード）: { DDEAUTO "C:\\Windows\\System32\\cmd.exe" "/c powershell.exe -ExecutionPolicy Bypass ..." }
ユーザーへの送付:
- フィッシングメールの添付ファイルとして、一見無害な請求書や通知書を装って送ります。
トリガー:
- ユーザーが文書を開くと、「この文書には、他のファイルへのリンクが含まれています。リンクを更新しますか？」といったポップアップが表示されます。
コードの実行:
- ユーザーが「はい」をクリックすると、指定された cmd.exe や PowerShell が起動し、攻撃が開始されます。

3. 防御・対策

DDEを完全に無効化するか、ユーザーが安易に許可しないようにすることが重要です。

DDEの無効化: レジストリ設定により、Office内でのDDE機能を無効化します（現在のMicrosoft Officeのアップデートでは、デフォルトで制限が強化されています）。
「リンクの更新」への警戒: 文書を開いた際に表示される「リンクを更新しますか？」「別のアプリケーションを実行しようとしています」といった警告に対して、不審な場合は「いいえ」を選択するようユーザー教育を徹底します。
プロセスの親子関係の監視: Word（winword.exe）やExcel（excel.exe）が、不自然に cmd.exe や powershell.exe を起動していないかをEDRなどで監視します。
ASR (Attack Surface Reduction) ルールの適用: Microsoft DefenderのASRルールにある「Officeアプリケーションが子プロセスを作成することをブロックする」設定を有効にします。

4. 重要ポイント

「マクロレス」攻撃の先駆け: VBAマクロが厳しく監視されるようになった後、その抜け穴として爆発的に悪用されました。
信頼の悪用: Microsoftの正規の機能であるため、当時はパッチではなく「仕様」としての扱いでした（現在は緩和策が導入されています）。

5. 関連する主なCWE

CWE-74: Improper Neutralization of Special Elements (Injection): 文書内の特別なコード（DDE命令）を不適切に処理し、外部コマンドとして実行させてしまう問題。
CWE-15: External Control of System or Configuration Setting: 外部（攻撃者）が提供する設定によって、システムの動作（プログラム起動）が制御されてしまう不備。

6. 関連する代表的な事例

DDEExploit: この手法を容易に実行できるツールが公開され、世界中でランサムウェアやバンキングトロジャン（Emotetなど）の配布に悪用されました。
FIN7 / APT28: 高度標的型攻撃グループが、特定の企業を狙ったフィッシング攻撃において、初期侵入の手口としてDDEを多用したことが記録されています。
NECURSボットネット: 数百万件のスパムメールを配信するボットネットが、DDEを悪用した文書を大量に配布し、一時期大きな脅威となりました。

実務上のヒント

現在のOffice環境では「DDE」という用語が警告画面に直接出ないこともあります。「外部アプリケーションを起動しようとしています」という文言の警告が出た場合、それは T1173 の攻撃が進行しているサインかもしれません。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design