Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
EDR, MDR, XDR – trzy popularne skróty w świecie cyberbezpieczeństwa, często pojawiające się w ofertach dostawców i dyskusjach specjalistów. Oznaczają odpowiednio Endpoint Detection and Response, Managed Detection and Response oraz Extended Detection and Response. Choć brzmią podobnie, reprezentują różne podejścia do wykrywania zagrożeń i reagowania na nie.
Czytaj dalej „EDR vs MDR vs XDR”
CVE‑2012‑0158 to klasyczna luka RCE w bibliotekach Windows Common Controls (ActiveX MSCOMCTL.OCX — m.in. kontrolki ListView/TreeView). Była masowo wykorzystywana poprzez złośliwe pliki RTF/DOC dostarczane e‑mailem; po otwarciu dokumentu dochodziło do wykonania kodu z uprawnieniami użytkownika. Microsoft załatał błąd w biuletynie MS12‑027 (2012‑04‑10), ale podatność pozostawała długo popularna w kampaniach APT i trafiła do katalogu CISA KEV. Dla SOC: monitoruj dzieci procesów Office (Word/Excel → cmd.exe/powershell.exe/wscript.exe), wymuś ASR „Block Office creating child processes”, blokuj/otwieraj w Protected View pliki RTF i egzekwuj aktualizacje.
Błąd stanowi przepełnienie bufora/pamięci w kontrolkach ActiveX (ListView, ListView2, TreeView, TreeView2) biblioteki MSCOMCTL.OCX. Specjalnie przygotowany dokument Office/RTF lub strona WWW może doprowadzić do zdalnego wykonania kodu (RCE) w kontekście ofiary (typowo przez osadzenie obiektu OLE/objocx w RTF).
EmailEvents, EmailAttachmentInfo w Advanced Hunting). GetObject z nieznanych źródeł. [praktyka SOC]\object/\objocx). Renderowanie przez Worda wywołuje kod z biblioteki MSCOMCTL.OCX, co powoduje naruszenie pamięci i przekazanie sterowania attackerowi. MSCOMCTL.OCX (m.in. SQL Server, Commerce Server, BizTalk, Visual Basic 6 runtime). | Platforma | Źródło danych | Zdarzenie/ID | Kluczowe pola / wzorce | Wskazówki analityczne |
|---|---|---|---|---|
| Windows | Sysmon | EID 1 (Process Create) | ParentImage=WINWORD.EXE/EXCEL.EXE/POWERPNT.EXE + Image in (cmd.exe,powershell.exe,wscript.exe,mshta.exe,regsvr32.exe,rundll32.exe) | Typowy łańcuch po eksploitacji dokumentu. Koreluj z CommandLine (URL, -enc, FromBase64String). |
| Windows | Sysmon | EID 7 (Image Loaded) | ImageLoaded kończy się na \mscomctl.ocx przez WINWORD.EXE | Rzadkie w zdrowych dokumentach; wzmacnia pewność analityki procesów. |
| Windows | Sysmon | EID 3 (Network Connect) | Image=WINWORD.EXE lub dziecko → połączenia HTTP/HTTPS | Dokumenty przynęt często dociągały payloady; patrz hosty niesankcjonowane. |
| Windows | Security | Event ID 4688 | Procesy jak wyżej; NewProcessName, CreatorProcessName | Alternatywa dla środowisk bez Sysmon. |
| M365 | Defender for Office 365 (AH) | tabele EmailEvents, EmailAttachmentInfo | AttachmentFileType in (rtf, doc, docx); DetectionTechnology/ActionType | Telemetria o załącznikach i kampaniach e‑mail; koreluj z host telemetry. |
| M365 | Unified Audit / MailItemsAccessed | Zdarzenia dostępu do wiadomości | IP, klient, operacja | Pomaga ocenić skalę kompromitacji skrzynek. |
| AWS | CloudTrail (data events S3) | GetObject, HeadObject | requestParameters.key ~ `.(rtf | docx?)$, userAgent, sourceIPAddress` |
| Azure/GCP/K8s/ESXi | — | — | — | Nie dotyczy bezpośrednio luki; tylko kontekstowe telemetry (np. proxy, CASB). |
title: Office Spawns Suspicious Child Process (CVE-2012-0158 Post-Ex)
id: 0b2c9c9a-5b6a-4a9b-b2d9-cc15e2150158
status: experimental
description: >
Wykrywa aplikacje Office tworzące podejrzane procesy potomne
(typowe po wykorzystaniu dokumentów, w tym CVE-2012-0158).
author: Badacz CVE
date: 2025/11/05
tags:
- attack.t1203
- attack.t1566.001
- attack.t1204.002
- cve.2012-0158
logsource:
category: process_creation
product: windows
detection:
parent_office:
ParentImage|endswith:
- '\WINWORD.EXE'
- '\EXCEL.EXE'
- '\POWERPNT.EXE'
suspicious_child:
Image|endswith:
- '\cmd.exe'
- '\powershell.exe'
- '\wscript.exe'
- '\cscript.exe'
- '\mshta.exe'
- '\rundll32.exe'
- '\regsvr32.exe'
condition: parent_office and suspicious_child
falsepositives:
- legalne dodatki/deployment (udokumentowane wyjątki)
level: high(index=endpoint OR index=sysmon)
(
(sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventCode=1)
OR (sourcetype=WinEventLog:Security EventCode=4688)
)
| eval ParentImage=coalesce(ParentImage, CreatorProcessName)
| eval Image=coalesce(Image, NewProcessName)
| search ParentImage IN ("*\\WINWORD.EXE","*\\EXCEL.EXE","*\\POWERPNT.EXE")
| search Image IN ("*\\cmd.exe","*\\powershell.exe","*\\wscript.exe","*\\cscript.exe","*\\mshta.exe","*\\rundll32.exe","*\\regsvr32.exe")
| stats count min(_time) as firstTime max(_time) as lastTime by host user ParentImage Image CommandLine ParentCommandLine
| where count>=1// Office -> suspicious child
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("WINWORD.EXE","EXCEL.EXE","POWERPNT.EXE")
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe")
| project Timestamp, DeviceName, AccountName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine
| order by Timestamp desc// Word/Excel ładuje mscomctl.ocx (wzmacniacz hipotezy)
DeviceImageLoadEvents
| where InitiatingProcessFileName in~ ("WINWORD.EXE","EXCEL.EXE")
| where FolderPath endswith @"\mscomctl.ocx"fields @timestamp, eventSource, eventName, requestParameters.bucketName as bucket, requestParameters.key as key, sourceIPAddress, userAgent
| filter eventSource = "s3.amazonaws.com" and eventName in ["GetObject","HeadObject"]
| filter key like /.*\.(rtf|doc|docx)$/i
| sort @timestamp desc
| limit 100process
where
process.parent.name in ("WINWORD.EXE","EXCEL.EXE","POWERPNT.EXE") and
process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe")\object, \objocx, MSComctlLib.ListViewCtrl.2 (wskaźnik heurystyczny; niejednoznaczny). EmailAttachmentInfo) + DeviceProcessEvents (dzieci WINWORD.EXE). mscomctl.ocx przez Word + brak wcześniejszych makr/OLE w dokumencie → dodatkowy kontekst.mscomctl.ocx może być ładowany także przez aplikacje legacy (VB6) — użyj dodatkowych warunków: parent=WINWORD/EXCEL, CommandLine z nietypowymi przełącznikami.\objocx w RTF to sygnał podejrzany, nie rozstrzygający (stosuj sandbox/MDO). prefetch, memoria, Process Tree, DeviceProcessEvents/DeviceImageLoadEvents.Get-HotFix -Id KB2664258,KB2598039,KB2598041,KB2597112 -ErrorAction SilentlyContinue Get-ChildItem "C:\Windows\System32\MSCOMCTL.OCX","C:\Windows\SysWOW64\MSCOMCTL.OCX" -ErrorAction SilentlyContinue | Select FullName,@{n='FileVersion';e={$_.VersionInfo.FileVersion}} (Lista KB wg biuletynu MS12‑027 i wariantów produktowych). EmailEvents + SHA256 z EmailAttachmentInfo), a następnie koreluj z host telemetry. \objocx. Uwaga: poniższe kroki nie zawierają exploitów ani makr ofensywnych; służą wyłącznie do weryfikacji detekcji.
Lab‑1: Heurystyka RTF w bramce/MDO
\object/\objocx (bez osadzania binariów OLE).EmailAttachmentInfo ↔ host telemetry (brak uruchomionych procesów wtórnych powinien dać „clean”). Lab‑2: Analityka „Office → child process” (symulacja zachowania, bez dokumentu)
powershell.exe -nop -c "Write-Host Test" (symulacja artefaktów procesowych bez łańcucha infekcji).Lab‑3: Telemetria mscomctl.ocx (obserwacja)
DeviceImageLoadEvents dla WINWORD.EXE → mscomctl.ocx (zwykle pusto). To testuje pipeline logów i zapytania KQL, bez ryzyka.Mitigations (ATT&CK):
Techniki pokrewne:
EmailEvents, EmailAttachmentInfo. (Microsoft Learn)SOC (operacyjnie):
mscomctl.ocx load (wzmocnienie hipotezy).CISO (strategicznie):
Badacze opisali nową technikę operacyjną grupy Curly COMrades: po kompromitacji hosta z Windows napastnicy włączają Hyper-V i importują ukrytą, minimalistyczną maszynę wirtualną z Alpine Linux, w której uruchamiają własne implanty. Dzięki izolacji wykonywania w VM unikają detekcji przez rozwiązania EDR działające na hoście.
Curly COMrades to aktor APT działający co najmniej od 2024 r., powiązany z celami zgodnymi z interesami Rosji. Wcześniejsze aktywności obejmowały m.in. sektor publiczny w Gruzji i energetykę w Mołdawii. Najnowsza publikacja rozszerza znane TTP o trwałą obecność w VM Hyper-V na hostach ofiar.
Wejście i przygotowanie środowiska
Import-VM oraz Start-VM -Name WSL. Pliki VM trafiają pod mylącą ścieżkę w C:\ProgramData\Microsoft\AppV\app\. Konfiguracja VM
/etc/hosts, niestandardowy DNS w /etc/resolv.conf). Sieć ustawiona na Default Switch (NAT), co tuneluje ruch przez stos sieciowy hosta. Implanty i persystencja
MD5 c6dbf3de8fd1fc9914fae7a24aa3c43d. ~/.ssh/config, pakuje SSH w HTTP/HTTPS; przykład MD5: 1a6803d9a2110f86bb26fcfda3606302. Dalsze operacje
ProgramData\Microsoft\AppV\ ma obniżyć czujność operatorów SOC. ProgramData\Microsoft\AppV\...). Start-VM -Name WSL, Import-VM na hostach użytkowników; śladów RAR/WinRAR rozpakowujących VM z archiwów; obecności katalogu AppV\app\Virtual Machines\*.vmcx. W logach PowerShell – nietypowe I/O redirection typu | cmd > %ProgramData%\WindowsUpdateTask_*.tmp. /etc/crontabs i plików /bin/init_tools, /root/updater, ~/.ssh/config. Hashy CurlyShell/CurlCat porównaj z IOC z publikacji. Kryminaliści/ransomware wcześniej wykorzystywali VM-y (np. do szyfrowania z wnętrza maszyny), jednak Curly COMrades idzie dalej: VM stanowi bazę operacyjną C2 z customowymi implantami i trwałą łącznością, a nie tylko jednorazowym narzędziem. Nowością jest też agresywne „udawanie” WSL i prekonfigurowany tunel SSH→HTTPS oparty na własnym komponencie (CurlCat).
Brytyjskie przedsiębiorstwa wodociągowe zgłosiły do Drinking Water Inspectorate (DWI) łącznie 15 incydentów w okresie 1.01.2024–20.10.2025, z czego pięć dotyczyło cyberataków – ujawnia analiza wniosków FOI opisana przez Recorded Future News. Ataki nie zakłóciły dostaw ani jakości wody, ale uderzały w systemy organizacji wspierające ciągłość usług. Sprawa odsłania lukę w przepisach NIS: obowiązkowe jest raportowanie tylko tych zdarzeń, które rzeczywiście przerwały świadczenie usługi – co w praktyce może zaniżać obraz ryzyka prepozycjonowania i działań APT.
W sektorze wodnym historycznie dominowały incydenty w IT/biurze (np. ransomware), rzadziej bezpośrednio w OT/ICS. Tendencję potwierdzają przypadki w Europie (m.in. brytyjski South Staffs Water czy hiszpańskie Aigües de Mataró), przy czym sam proces uzdatniania i dystrybucji zwykle nie został naruszony. Raport DWI pokazuje jednak, że dostawcy mimo braku formalnego obowiązku zaczynają dzielić się informacjami o cyberzdarzeniach wpływających na „odporność dostaw” – to krok w stronę kultury wymiany danych o zagrożeniach.
Dlaczego obecny próg NIS jest problematyczny? Regulacje w wersji obowiązującej w Wielkiej Brytanii koncentrują się na incydentach, które doprowadziły do przerwy w usłudze (ang. essential service). W efekcie:
Przykład wektora: w 2023 r. CISA ostrzegła przed aktywną eksploatacją PLC Unitronics w zakładach wod-kan; NCSC równolegle wskazało na ryzyko w sektorze wodnym i potrzebę twardszej separacji IT/OT oraz twardej konfiguracji urządzeń. To typowe punkty zaczepienia dla aktorów państwowych i przestępczych.
Microsoft Incident Response (DART) opisał nowy backdoor SesameOp, który wykorzystuje OpenAI Assistants API jako kanał command-and-control (C2). To nie jest podatność w OpenAI ani błąd konfiguracji — to nadużycie legalnego interfejsu API w celu ukrycia komunikacji atakujących w „szumie” ruchu do popularnej usługi chmurowej. OpenAI wraz z Microsoftem zidentyfikowali i wyłączyli klucz oraz powiązane konto wykorzystywane przez sprawcę; funkcja Assistants API i tak ma zostać wycofana w sierpniu 2026 r.
Nadużywanie legalnych usług (tzw. LOLBAS/LOLCLOUD) do C2 to trend widoczny od lat (GitHub, Slack, Telegram, Pastebin). W 2025 r. ENISA raportuje nasilenie wykorzystywania narzędzi AI przez grupy APT i cyberprzestępców (od inżynierii społecznej, przez rozwój malware, po ukrywanie operacji). To raczej „turbo-doładowanie” starych technik niż zupełnie nowe zdolności ofensywne.
Składniki i uruchomienie
Netapi64.dll (obfuskacja Eazfuscator.NET), znacznik uruchomienia C:\Windows\Temp\Netapi64.start, mutex jednosesyjny; dekoduje i uruchamia właściwy moduł z pliku kończącego się na .Netapi64..NET OpenAIAgent.Netapi64 — wbrew nazwie nie używa SDK agentów ani modeli, tylko Assistants API do pobierania poleceń i wysyłki wyników jako wiadomości. Konfiguracja z zasobów: OpenAI_API_Key|Dictionary_Key_Name|Proxy; obsługa proxy systemowego, B64 hostnamen. Mutex: „OpenAI APIS”. Protokół C2 przez Assistants API
timeSLEEP z wiadomości (po thread_id|message_id) i pauza wątku,thread_id|message_id, wykonaj w osobnym wątku, usuń wiadomość i assistanta,Wejście do procesu i utrwalenie
.config; w środowisku ofiary działała dodatkowo siatka internal web shelli wspierających orkiestrację. Detekcje Microsoft
api.openai.com. Monitoring & hunting (SOC)
api.openai.com: koreluj proces → host → częstotliwość; zacznij od kwerendy Microsoft (lub odpowiednika w SIEM/NDR). Ustal listę dozwolonych procesów/serwerów korzystających z API OpenAI. C:\Windows\Temp\*Netapi64*. Kontrola dostępu i „egress governance” (IT/SecOps)
IR / odzyskiwanie
C:\Windows\Temp\Netapi64.*, wpisów konfiguracyjnych .config wskazujących AppDomainManager.SesameOp pokazuje, że governance nad ruchem do usług AI i bezpieczeństwo tożsamości API to nowe „must-have” w SOC. Należy inwentaryzować legalne użycia api.openai.com, egzekwować egress allowlisty, szukać behawioralnych anomalii .NET oraz artefaktów na hostach. Dobra współpraca z dostawcami (tu: Microsoft & OpenAI) przyspiesza neutralizację takich nadużyć.
Altualne na dzień 3.11.2025 – Artykuł będzie aktualizowany planowo 2 razy do roku.
Analizy firm z branży cyberbezpieczeństwa (m.in. Mandiant, Rapid7, Recorded Future, MITRE ATT&CK, Palo Alto Unit 42) oraz instytucji rządowych (CISA, FBI) wskazują na listę podatności, które były najczęściej wykorzystywane przez grupy APT oraz cyberprzestępców w latach 2010–2024.
Czytaj dalej „Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych”Najnowsza analiza ITIF opisuje „ekosystem” chińskiego szpiegostwa gospodarczego, który łączy operacje cybernetyczne, rekrutację insiderów oraz pozornie legalne transfery technologii i talentów. Autor wskazuje, że programy rekrutacyjne, podmioty „prywatne” współpracujące z aparatem państwowym oraz instrumenty prawne (np. ustawa wywiadowcza) tworzą spójny mechanizm pozyskiwania własności intelektualnej i know-how z USA oraz państw sojuszniczych.
Chińskie dokumenty strategiczne (m.in. „Made in China 2025”) i polityka military-civil fusion wzmacniają presję na przyspieszony transfer technologii w kluczowych domenach (IT, lotnictwo, energia, bio). ITIF przypomina też, że narzędzia prawne (np. ustawa o wywiadzie z 2017 r.) nakładają na firmy obowiązek współpracy z organami bezpieczeństwa, co zaciera granicę między sektorem publicznym a „prywatnym”.
W tym samym czasie USA i partnerzy publikują wspólne ostrzeżenia techniczne przed długotrwałymi, nisko-szumowymi operacjami ChRL w infrastrukturze krytycznej (camp. Volt Typhoon).
Vectory pozyskiwania (wg przekrojowych materiałów ITIF, CISA i FBI):
Cele branżowe: sektory o wysokiej wartości dla konkurencyjności i obronności – lotnictwo, półprzewodniki, energia, biotechnologia, telekomunikacja. To pokrywa się z oceną FBI: „niemal każdy sektor gospodarki USA” doświadcza prób pozyskania IP/know-how.
1) Łowiectwo na techniki Volt Typhoon (LotL)
2) Twarda segmentacja i e2e-telemetria
3) Odporność na insiderów
4) Ćwiczenia „assume breach” i tabletopy łączone (CSIRT + HR + Legal)
5) Due diligence dostawców i inwestycji
6) Program wymiany informacji
Chińskie szpiegostwo gospodarcze to strategiczny, wielotorowy wysiłek państwa – od cyberoperacji LotL po rekrutację insiderów i instrumenty prawne wymuszające współpracę firm. Obrona wymaga prewencji i przewidywania: proaktywnego threat huntingu, segmentacji, kontroli tożsamości oraz dojrzałego programu anty-insider. Organizacje powinny mapować swoje „koronne klejnoty” na taktyki opisywane w doradztwach CISA/FBI i wdrażać procedury reagowania z udziałem HR/Legal.