Tag: Phishing

TL;DR

CVE‑2010‑3333 to luka typu stack‑based buffer overflow w parserze RTF pakietu Microsoft Office. Otworzenie lub nawet podgląd (Outlook używający Worda jako czytnika) specjalnie spreparowanego RTF może prowadzić do zdalnego wykonania kodu z uprawnieniami użytkownika. Luka była aktywnie wykorzystywana (znajduje się w CISA KEV) i często dostarczana jako załącznik e‑mail (ATT&CK T1566.001), a samo wykonanie to T1203. Kluczowe sygnały: WINWORD.EXE otwiera plik .rtf i uruchamia proces potomny (np. cmd.exe, powershell.exe). Patch: biuletyn MS10‑087.

---

Krótka definicja techniczna

CVE‑2010‑3333 opisuje błąd przepełnienia stosu w składniku obsługi RTF Microsoft Office (m.in. Word), umożliwiający uruchomienie dowolnego kodu po przetworzeniu złośliwego RTF. Mechanizm bywał wywoływany m.in. przez właściwość pFragments w obiektach RTF (Office Art/Shape), co skutkuje korupcją pamięci i przejęciem przepływu sterowania.

---

Gdzie występuje / przykłady platform

• Windows (Office XP/2003/2007/2010) – zagrożone wersje przed MS10‑087, często wektor: e‑mail/załącznik RTF.
• macOS (Office 2004/2008/2011; Open XML File Format Converter) – również podatne, aktualizacje w ramach MS10‑087/KB.
• M365/Exchange Online/Outlook – tor dostarczenia (skanowanie i telemetryka: EmailEvents, EmailAttachmentInfo).

---

Szczegółowy opis techniki (jak działa, cele, dlaczego jest skuteczna)

Luka polega na błędzie zapisu poza granice bufora (CWE‑787) w kodzie analizującym dane RTF. Wystarczy, aby ofiara otworzyła lub podejrzała wiadomość/plik RTF – w konfiguracjach z Wordem jako czytnikiem w Outlook 2007/2010 samo „Preview Pane” może wyzwolić exploit. Po udanym przepełnieniu stosu atakujący uzyskuje wykonanie kodu w kontekście użytkownika. Praktycznie wszystkie ówczesne edycje Office dla Windows i macOS były podatne przed łatą MS10‑087. Skuteczność wynika z: popularności RTF/Office, niskiej świadomości ryzyka „podglądu”, oraz łatwości dostarczenia przez e‑mail (T1566.001).

Wykorzystanie w kampaniach: technika T1203 jest powszechnie nadużywana; MITRE wskazuje grupy (np. Aoqin Dragon, Transparent Tribe), które historycznie korzystały m.in. z CVE‑2010‑3333.

---

Artefakty i logi (co zbierać)

Warstwa	Źródło/log	Co obserwować	Identyfikator / pola	Uwagi
Endpoint (Windows)	Sysmon	Procesy potomne WINWORD.EXE → cmd.exe, powershell.exe, wscript.exe, mshta.exe, rundll32.exe, regsvr32.exe	EID 1 (Process creation), ParentImage, CommandLine	Podstawowy sygnał wykonania po eksploatacji.
Endpoint (Windows)	Security	Tworzenie procesu	4688	Alternatywa dla Sysmon.
Endpoint (Windows)	Sysmon	Połączenia sieciowe procesu potomnego	EID 3	Eksfiltracja/ładowanie 2. etapu.
Aplikacje	Aplikation Error	Awaria WINWORD.EXE po otwarciu RTF	EID 1000	Czasem skutek nieudanego exploitu.
Poczta M365	Defender XDR – EmailEvents	Dostarczenie załącznika .rtf, verdict (Malware/Phish), NetworkMessageId	Tabela EmailEvents	Korelować z host‑telemetry (czas/odbiorca).
Poczta M365	EmailAttachmentInfo	FileType/AttachmentExtension = rtf	Tabela EmailAttachmentInfo	Rozszerzenie + wielkość, nadawca.
Poczta M365	EmailPostDeliveryEvents	Akcje ZAP (usunięcie, przeniesienie)	ActionType (np. ZAP)	Przydatne do potwierdzenia mitigacji.
Cloud	AWS CloudTrail (Data Events)	(opcjonalnie) pobranie złośliwego RTF z S3	s3:GetObject (włączone Data Events)	Tylko jeśli wektor to link do pliku w S3; nie jest typowy dla tej CVE.

Uwaga: CVE‑2010‑3333 znajduje się w katalogu CISA Known Exploited Vulnerabilities – podnosi to priorytet reagowania.

---

Detekcja (praktyczne reguły)

Sigma (Windows / Process Creation)

title: Office Child Process — Possible RTF Exploit (CVE-2010-3333)
id: 6d5e3c3a-6c8a-4a3c-9a0b-rtf3333
status: experimental
description: Wykrywa podejrzane procesy potomne uruchamiane przez WINWORD.EXE po otwarciu pliku RTF (T1203, T1566.001).
references:
  - https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_office_susp_child_processes/
logsource:
  category: process_creation
  product: windows
detection:
  selection_parent:
    ParentImage|endswith:
      - '\WINWORD.EXE'
  selection_child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\mshta.exe'
      - '\rundll32.exe'
      - '\regsvr32.exe'
  condition: selection_parent and selection_child
falsepositives:
  - Zdarzenia OLE/Packager (np. osadzenie obrazu uruchamia MSPAINT)
  - Skrypty administracyjne uruchamiane celowo z dokumentów (rzadkie)
level: high
tags:
  - attack.t1203
  - attack.t1566.001

Źródło wzorca: repozytorium Sigma/„Suspicious Microsoft Office Child Process”.

Splunk (SPL)

index=win* (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" OR EventCode=4688)
| eval ParentImage=coalesce(ParentImage,Process_Parent_Image)
| search ParentImage="*\\WINWORD.EXE"
| eval Image=coalesce(Image,New_Process_Name)
| where like(Image,"%\\cmd.exe") OR like(Image,"%\\powershell.exe") OR like(Image,"%\\wscript.exe") OR like(Image,"%\\mshta.exe") OR like(Image,"%\\rundll32.exe") OR like(Image,"%\\regsvr32.exe")
| stats values(CommandLine) values(ParentCommandLine) count by _time host User Image ParentImage

Kontekst i dobre praktyki pracy na Sysmon EID 1 w Splunk.

Microsoft 365 Defender / Sentinel (KQL – Advanced Hunting)

// 1) Procesy potomne Worda związane z exploitami/LOLBinami
DeviceProcessEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName =~ "WINWORD.EXE"
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe")
| project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessSHA1

// 2) Korelacja z mailem i załącznikiem RTF (ta sama ofiara ~ +/- 2h)
| join kind=leftouter (
    EmailAttachmentInfo
    | where Timestamp > ago(7d)
    | where AttachmentExtension =~ "rtf"
    | project RecipientEmailAddress, NetworkMessageId, AttachmentFileName, Timestamp
) on $left.AccountUpn == $right.RecipientEmailAddress

Dokumentacja tabel EmailEvents/EmailAttachmentInfo/EmailPostDeliveryEvents.

CloudTrail query (opcjonalnie – gdy RTF hostowany w S3)

# wymagane włączone Data Events dla S3
aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=EventName,AttributeValue=GetObject \
  --start-time 2025-11-01T00:00:00Z --end-time 2025-11-04T23:59:59Z \
  --query 'Events[?contains(CloudTrailEvent, `.rtf`)].[EventTime,Username,Resources]'

Użyteczne tylko, gdy kampania używała linku do RTF w S3 (nie typowy wektor tej CVE).

Elastic / EQL

process where
  process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe") and
  parent.process.name == "WINWORD.EXE"

Predefiniowana reguła „Suspicious MS Office Child Process” (Elastic).

---

Heurystyki / korelacje

• Word → LOLBin: drzewo procesu WINWORD.EXE → „living‑off‑the‑land” (rundll32, regsvr32, mshta) w 0–5 min od otwarcia .rtf.
• Mail → Host: EmailEvents.NetworkMessageId (M365) skorelowany z aktywnością użytkownika na stacji (ten sam odbiorca/UPN).
• Preview pane: zdarzenie może wystąpić bez eksplicytnego „Open”, gdy włączony podgląd wiadomości RTF w Outlook (Word jako czytnik).
• Awaria Worda (EID 1000) tuż po otwarciu RTF – ślad nieudanego exploitu.
• Wzorzec nazwy przynęty: historycznie spotykane tematy/lury (np. „New Year’s Greeting Card” po rosyjsku), ale nie ufaj IOC‑om statycznym – stawiaj na zachowanie.

---

False positives / tuning

• OLE/Packager w Wordzie może legitymnie odpalać mspaint.exe, iexplore.exe itp. – whitelistuj konkretne aplikacje/osadzenia (np. klasy COM/ProgID).
• Skrypty administracyjne uruchamiane z dokumentu w środowiskach deweloperskich – oznaczaj kontekst (grupy, ścieżki share’ów, podpisy).
• Tuning po CommandLine (np. -enc, -nop, -w hidden dla PowerShell) i po ParentCommandLine zawierającym ścieżkę do .rtf.
• Na poziomie poczty – filtry auf falszywe pozytywy dla szablonów RTF generowanych przez systemy legacy (sprawdź reputację nadawcy + DKIM/DMARC).

---

Playbook reagowania (IR)

1. Triage i izolacja: odłącz host (EDR/MDI).
2. Zabezpiecz dowody:
   • Zrzut listy procesów i drzew: Get-Process | Sort-Object ProcessName Get-CimInstance Win32_Process | Where-Object {$_.ParentProcessId -ne 0} | Select Name,ProcessId,ParentProcessId,CommandLine | Sort Name
   • Zbierz dzienniki Sysmon/Windows: wevtutil epl Microsoft-Windows-Sysmon/Operational C:\IR\sysmon.evtx wevtutil epl Security C:\IR\security.evtx
3. Korelacja z pocztą (M365):
   • Sprawdź EmailEvents po RecipientEmailAddress i NetworkMessageId (Advanced Hunting/Sentinel).
4. Blokuj odbiorcę/nadawcę kampanii (policy DLP/transport rules; ZAP, jeśli nie zadziałał).
5. Patching: potwierdź, że host ma zainstalowany biuletyn MS10‑087 / odpowiednie KB.
6. Eradykacja: usuń plik RTF, artefakty 2. etapu, wpisy Autostartu (jeśli wystąpiły).
7. Lessons learned: reguły ASR (blokada procesów potomnych Office), blokady rozszerzeń RTF w bramkach mailowych.

---

Przykłady z kampanii / case studies

• Aoqin Dragon – wykorzystywał m.in. CVE‑2010‑3333 (T1203) w atakach ukierunkowanych.
• Transparent Tribe – w przeszłości używał dokumentów RTF do execute (T1203), w tym CVE‑2010‑3333.
• Przynęty tematyczne raportowane przez Microsoft (WDSI) – np. „New Year’s Greeting Card” (ru), „Bilawar Bhutto Sex Scandal” – przykład socjotechniki dla RTF.

---

Lab (bezpieczne testy) — przykładowe komendy

Cel: sprawdzić, czy telemetria i reguły działają bez użycia złośliwego exploit‑RTF.

1. Telemetria procesów potomnych (pozytywny, lecz „dobry” sygnał):
   • W Wordzie: Wstaw → Obiekt → Obraz mapy bitowej (Paint) → zapis i zamknięcie. To uruchomi mspaint.exe jako dziecko WINWORD.EXE, co pozwoli przetestować pipeline logowania i reguły (powinno być dopuszczone jako FP do wykluczenia).
2. Sprawdzenie parsowania RTF offline:
   • Użyj narzędzi analitycznych do statycznego wglądu (np. rtfdump.py, oletools rtfobj) na bezpiecznych plikach referencyjnych. Szukaj znaczników \object, \objdata, anomalii w strukturze (np. nietypowe wielkości).
3. Korelacja z M365:
   • Wyślij do skrzynki testowej nieszkodliwy RTF i zweryfikuj, że pojawia się w EmailAttachmentInfo oraz że KQL łączy dane z DeviceProcessEvents.

---

Mapowania (Mitigations, Powiązane techniki)

Mitigations (ATT&CK)

• M1051 – Update Software: stosuj poprawki (MS10‑087/KB) i regularny patching pakietu Office/Outlook.
• M1042 – Disable or Remove Feature or Program: wyłącz/usuń zbędne komponenty Office/RTF w viewerach, rozważ blokady uruchamiania procesów potomnych Office (ASR/AppControl).
• Dodatkowo: szkolenia użytkowników, filtrowanie i inspekcja poczty (powiązanie z T1566).

Powiązane techniki ATT&CK (H3)

• T1203 — Exploitation for Client Execution -Atakujący uruchamia kod poprzez exploit w aplikacji klienckiej (tu: Word/RTF). Platforms: Windows, macOS; Tactic: Execution. Ver. 1.5 (modyf. 24‑10‑2025).
• T1566.001 — Phishing: Spearphishing Attachment -Dostarczanie złośliwego RTF jako załącznika e‑mail, często z przynętami tematów. Tactic: Initial Access.
• T1204 — User Execution – Skuteczność zależy od interakcji użytkownika (otwarcie/podgląd).

---

Źródła / dalsza literatura

• NVD – CVE‑2010‑3333: opis, wersje podatne, CVSS, KEV (CISA). (NVD)
• Microsoft MS10‑087 (Security Bulletin): szczegóły ataku przez podgląd RTF w Outlook (Word jako czytnik), listy wersji i KB. (Microsoft Learn)
• Rapid7 (Metasploit module): kontekst właściwości pFragments w parserze RTF. (Rapid7)
• MITRE ATT&CK T1203 (ver. 1.5, v18) – przykłady grup wykorzystujących CVE‑2010‑3333. (MITRE ATT&CK)
• ATT&CK T1566.001 – spearphishing attachment (kontekst dostarczenia). (MITRE ATT&CK)
• Microsoft WDSI – Exploit:Win32/CVE‑2010‑3333 – przykładowe tematy przynęt. (microsoft.com)
• M365 Defender – EmailEvents / EmailPostDeliveryEvents – dokumentacja schematów. (Microsoft Learn)
• Sigma – „Suspicious Microsoft Office Child Process”. (detection.fyi)
• Elastic – prebuilt EQL „Suspicious MS Office Child Process”. (Elastic)
• Splunk blog/research – praca z Sysmon EID 1; oraz analityka „Office spawning cmd.exe”. (Splunk)

---

Checklisty dla SOC / CISO

SOC

• Reguły: Office → LOLBins (Sigma/Splunk/KQL/EQL) włączone i przetestowane.
• Korelacja EmailEvents ↔ DeviceProcessEvents po UPN/NetworkMessageId.
• Zbieranie Sysmon (EID 1/3) i Windows Security (4688) z hostów użytkowników.
• Alert na awarie Worda (EID 1000) w kontekście otwarcia .rtf.
• Blokady/ASR: „Block Office applications from creating child processes”.

CISO

• Potwierdzony patch level (MS10‑087) dla wszystkich stacji z Office.
• Polityka pocztowa: sandbox/preview dla RTF, DMARC/DKIM, ZAP aktywny.
• Testy skuteczności detekcji (bezpieczne laby) i cykliczne ćwiczenia IR.
• Program świadomości użytkowników nt. załączników RTF (T1566.001).

Uwaga końcowa: CVE‑2010‑3333 ma w NVD CVSS v3.1 = 7.8 (HIGH) oraz CVSS v2 = 9.3 (HIGH); traktuj jako wysoki priorytet i utrzymuj łatki/kompensacje.

---

TL;DR

Krytyczna podatność w CoolType.dll (obsługa czcionek) programu Adobe Reader/Acrobat umożliwia zdalne wykonanie kodu po otwarciu specjalnie spreparowanego pliku PDF zawierającego wadliwy TTF z tabelą SING. Błąd był aktywnie wykorzystywany od września 2010 r.; naprawiono go w wersjach 9.4 / 8.2.5 (oraz później w Reader X z sandboxem). Mapowanie ATT&CK: T1566.001 (dostarczenie załącznikiem), T1204.002 (uruchomienie przez użytkownika), T1203 (exploitation for client execution). W praktyce szukaj: niezwykłych procesów potomnych uruchamianych przez AcroRd32.exe/Acrobat.exe, gwałtownych crashy modułu CoolType.dll (Event ID 1000) i łącz to z telemetrią pocztową.

---

Krótka definicja techniczna

CVE-2010-2883 to buforowy przepełnienie stosu w CoolType.dll (parsowanie tabeli SING w czcionce TrueType osadzonej w PDF), wyzwalane przy otwarciu złośliwego dokumentu PDF; skutkiem jest crash lub wykonanie dowolnego kodu w kontekście aplikacji.

---

Gdzie występuje / przykłady platform

• Windows, macOS, UNIX (Reader 9.3.4 i starsze; Acrobat 9.3.4 i starsze; Reader/Acrobat 8.x do 8.2.4) — systemy te były podatne przed aktualizacją do 9.4/8.2.5.
• Środowiska korporacyjne (AD/M365): najczęściej wektor dostarczenia to spearphishing z PDF (Exchange/M365). Mapowanie do ATT&CK Initial Access.
• Chmura (AWS/GCP/Azure): pliki bywały hostowane na publicznych zasobnikach (np. S3); przydaje się telemetria dostępu (CloudTrail/S3 Access Logs) do analizy dystrybucji. [Uwaga: nie jest to błąd usług chmurowych, a jedynie kanał dostarczenia.]
• K8s/ESXi: brak bezpośredniego wpływu — jedynie gdy stacje VDI/WorkSpaces otwierają PDF.

---

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

PDF może osadzać czcionki TTF/OTF. W podatnych wersjach Reader/Acrobat błędny kod w bibliotece CoolType nieprawidłowo łączył ciągi (m.in. z pola uniqueName w tabeli SING) wykonując niebezpieczne operacje na buforze (np. strcat), co prowadziło do przepełnienia stosu. Napastnik, dołączając tak przygotowany TTF do PDF, osiągał wykonanie kodu po otwarciu dokumentu przez ofiarę. We wrześniu 2010 r. raportowano aktywną eksploatację w kampaniach spearphishingowych. Adobe wydało aktualizacje 8.2.5/9.4 (APSB10‑21), zaś Reader X (11/2010) wprowadził Protected Mode (sandbox), znacząco utrudniający dalsze nadużycia klas tego typu błędów.

---

Artefakty i logi (tabela)

Źródło	ID / typ	Co obserwować	Przykład / Wskazówka	Uwaga
Windows Security	4688	Procesy potomne AcroRd32.exe/Acrobat.exe → cmd.exe, powershell.exe, wscript.exe, rundll32.exe, regsvr32.exe, msiexec.exe	ParentImage=…\AcroRd32.exe, Image=…\powershell.exe, CommandLine zawiera -enc/URL	Wzorzec po‑eksploatacyjny (T1204.002/T1203)
Sysmon	1 (ProcessCreate)	Jak wyżej, bogatsze pola (hash, integrator)	Image, ParentImage, CommandLine
Sysmon	3 (NetworkConnect)	Nietypowe połączenia z procesu Reader/Acrobat po otwarciu PDF	AcroRd32.exe → nietypowe domeny/IP	Koreluj z 4688/1
Sysmon	11/15 (FileCreate/FileStream)	Upuszczenia binariów do %APPDATA%\*\Temp	Nazwy losowe .exe/.dll
Windows Application	1000/1001	Crash AcroRd32.exe/Acrobat.exe z modułem CoolType.dll (DoS/corruption)	„Faulting module name: CoolType.dll”	Częsty artefakt przy próbie eksploatacji
Poczta (M365/Exchange)	Threat/Policy events	Załączniki PDF oznaczone jako złośliwe/heurystyka fontów; kampanie spearphishing	Identyfikatory alertów EOP/Defender for Office	Mapuj do T1566.001
Proxy/HTTP	—	Pobrania PDF z domen jednorazowych/S3	UA programu pocztowego lub przeglądarki
AWS CloudTrail (S3 Data Events)	GetObject	(Gdy dystrybucja przez S3) masowe pobrania .pdf z publicznych bucketów	eventSource="s3.amazonaws.com" AND key LIKE "%.pdf"	Kanał dostarczenia, nie wektor wykonania

(Zakres podatnych wersji i platform: Adobe Advisory/US‑CERT).

---

Detekcja (praktyczne reguły)

Sigma (Windows / process_creation)

title: Acrobat/Reader Spawns Suspicious Child (CVE-2010-2883 Follow-on)
id: 2b2b8f2a-9a0e-4e7d-9b1c-4b3d9c9b6a88
status: test
description: >
  Wykrywa podejrzane procesy potomne uruchamiane przez AcroRd32.exe/Acrobat.exe,
  co może wskazywać na eksploatację PDF (np. CVE-2010-2883) i fazę post-exploitation.
references:
  - https://attack.mitre.org/techniques/T1204/002/
  - https://attack.mitre.org/techniques/T1203/
logsource:
  product: windows
  category: process_creation
detection:
  sel_parent:
    ParentImage|endswith:
      - '\AcroRd32.exe'
      - '\Acrobat.exe'
  sel_child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\rundll32.exe'
      - '\regsvr32.exe'
      - '\msiexec.exe'
  sel_cmd:
    CommandLine|contains:
      - ' -enc '
      - 'http://'
      - 'https://'
      - 'FromBase64String'
  condition: sel_parent and sel_child or (sel_parent and sel_cmd)
falsepositives:
  - Otwarcie linku z PDF uruchamiające przeglądarkę (dopuszczalne; dodaj allowlist)
  - Wtyczki lub integracje korporacyjne Acrobat (rzadko)
level: high
tags:
  - attack.t1204.002
  - attack.t1203
  - attack.t1566.001

(Mapowanie ATT&CK)

Splunk (SPL)

(index=win* (sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1)
 OR (sourcetype="WinEventLog:Security" EventCode=4688))
| eval ParentImage=coalesce(ParentImage, ParentProcessName, process_parent_image)
| eval Image=coalesce(Image, New_Process_Name, process_name)
| eval CommandLine=coalesce(CommandLine, Process_Command_Line, cmdline)
| search (like(ParentImage, "%\\AcroRd32.exe") OR like(ParentImage, "%\\Acrobat.exe"))
| search (like(Image, "%\\cmd.exe") OR like(Image, "%\\powershell.exe") OR like(Image, "%\\wscript.exe") OR like(Image, "%\\cscript.exe")
        OR like(Image, "%\\rundll32.exe") OR like(Image, "%\\regsvr32.exe") OR like(Image, "%\\msiexec.exe")
        OR CommandLine="* -enc *" OR CommandLine="*http*")
| stats earliest(_time) as firstSeen latest(_time) as lastSeen values(CommandLine) as cmd by host user ParentImage Image
| convert ctime(firstSeen) ctime(lastSeen)

KQL (Microsoft Defender for Endpoint / Sentinel)

DeviceProcessEvents
| where InitiatingProcessFileName in~ ("AcroRd32.exe","Acrobat.exe")
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","rundll32.exe","regsvr32.exe","msiexec.exe")
   or ProcessCommandLine has_any (" -enc ","http://","https://","FromBase64String")
| project TimeGenerated, DeviceName, InitiatingProcessAccountName,
          InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine
| order by TimeGenerated desc

CloudTrail (CloudWatch Logs Insights) – dystrybucja przez S3 (opcjonalnie)

fields @timestamp, eventName, userAgent, requestParameters.bucketName as bucket,
       requestParameters.key as key, sourceIPAddress
| filter eventSource = "s3.amazonaws.com" and eventName = "GetObject" and key like /.*\.pdf$/i
| stats count() as downloads by bucket, key, sourceIPAddress, userAgent
| sort downloads desc

Elastic / EQL

process where event.type == "start" and
  process.parent.name in ("AcroRd32.exe","Acrobat.exe") and
  process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe",
                   "rundll32.exe","regsvr32.exe","msiexec.exe")

---

Heurystyki / korelacje

• Łańcuch rodzic‑potomek: AcroRd32.exe/Acrobat.exe → [„LOLBins”] powershell/wscript/rundll32 → połączenie sieciowe → zapis pliku w %APPDATA%.
• Crash & połączenie: bliski w czasie Application Error 1000 (moduł CoolType.dll) i nowa aktywność procesu skryptowego.
• Rzadkość: anomalna dla danej stacji liczba otwarć PDF zakończonych utworzeniem procesu systemowego lub połączeniem wychodzącym.
• Poczta: alerty EOP/Defender for Office skorelowane z otwarciem konkretnego załącznika PDF (T1566.001).

---

False positives / tuning

• Legalne akcje: kliknięcie linku w PDF (otwarcie przeglądarki) — odfiltrować „browser allowlist”.
• Aktualizacje/Wtyczki: rzadkie scenariusze, w których PDF uruchamia dozwolony instalator/wtyczkę (np. msiexec w integracjach przedsiębiorstwa).
• Tuning pól: wymagaj co najmniej jednego warunku: CommandLine z URL/-enc, hash niepodpisanego potomka, brak reputacji, lub nietypowe remote IP.

---

Playbook reagowania (IR)

1. Zatrzymaj rozprzestrzenianie: izoluj host(y) z alertami (EDR).
2. Zabezpiecz artefakty: plik PDF, logi 4688/Sysmon 1/3, Application 1000/1001, próbki upuszczonych plików.
3. Triage: sprawdź łańcuch AcroRd32.exe → <script/binary> i aktywność sieciową; porównaj z reputacją domen/IP.
4. Eradykacja: odinstaluj stare Reader/Acrobat; zaktualizuj do ≥9.4/8.2.5 lub nowszych gałęzi (preferuj Reader z Protected Mode).
5. Ochrona: wymuś polityki ASR/EDR blokujące child‑process z czytników PDF; blokuj IOCs w proxy/DNS.
6. E‑mail: znajdź i usuń identyczne załączniki w skrzynkach (Search & Purge), zakonfiguruj sandboxing załączników (MDO).
7. Weryfikacja: retro‑hunt 30–90 dni; porównaj do CISA KEV (CVE na liście).
8. Komunikacja/lessons learned: kampania uświadamiająca (M1017), reguły DLP/AV dla PDF.

---

Przykłady z kampanii / case studies

• Eksploatacja „in the wild” (09/2010): raporty SANS ISC oraz US‑CERT wskazują aktywne wykorzystanie błędu w kampaniach złośliwych PDF.
• Microsoft detections (2010): sygnatura Exploit:Win32/CVE-2010-2883.A opisuje PDF próbujące wyzwolić błąd SING w CoolType.dll.
• CISA KEV: CVE-2010-2883 znajduje się w katalogu znanych, wykorzystywanych podatności (data dodania: 2022‑06‑08 — wg danych NVD).

---

Lab (bezpieczne testy) — przykładowe komendy

Cel: przetestować detekcje (a nie sam exploit). Uruchamiaj wyłącznie w izolowanym labie.

A. Atomic Red Team – T1204.002 (Malicious File) / T1566.001 (Spearphishing Attachment – symulacja)

• Instalacja i uruchomienie przykładowych testów (np. otwarcie pliku generującego proces dziecko):

# Wymaga PowerShell i Invoke-AtomicRedTeam
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install.ps1')
Install-AtomicRedTeam
Invoke-AtomicTest T1204.002 -ShowDetails
Invoke-AtomicTest T1204.002 -GetPrereqs -RunTest
# alternatywnie (kampania/phishing):
Invoke-AtomicTest T1566.001 -ShowDetails

Spodziewaj się trafień w regułach z sekcji 7 (parent‑child, CommandLine).

B. Negatywny test stabilności (crash monitor)

• Otwieraj zwykłe, nieszkodliwe PDF-y i potwierdź brak Event 1000 z modułem CoolType.dll. (Służy jako baseline.)

Nie twórz/uruchamiaj złośliwych PDF. Ten lab weryfikuje wyłącznie ścieżkę detekcji i jakość alertów.

---

Mapowania (Mitigations, powiązane techniki)

Powiązane techniki ATT&CK

• T1566.001 — Spearphishing Attachment (dostarczenie).
• T1204.002 — User Execution: Malicious File (klik/otwarcie PDF).
• T1203 — Exploitation for Client Execution (wykonanie przez exploit w kliencie).

Mitigations (ATT&CK Enterprise)

• M1051 — Update Software: aktualizacje Reader/Acrobat (9.4/8.2.5+), regularne łatanie.
• M1040 — Behavior Prevention on Endpoint: EDR/ASR blokujące child‑process z czytników PDF oraz exploit‑guard.
• M1017 — User Training: edukacja nt. załączników PDF i makiet phishingu.
• M1031 — Network Intrusion Prevention: IDS/IPS sygnaturowe dla ładunków PDF i C2 po eksploatacji.

---

Źródła / dalsza literatura

• NVD — CVE‑2010‑2883 (CVSS, KEV, CPE, opis): „Stack-based buffer overflow… (SING table)”. (NVD)
• Adobe Advisory (APSA10‑02): wersje podatne, informacja o eksploatacji, zalecenie aktualizacji. (Adobe)
• US‑CERT / CERT VU#491991: opis błędu i rekomendacje (DEP/ASLR, aktualizacje do 9.4/8.2.5). (kb.cert.org)
• Microsoft malware encyclopedia: Exploit:Win32/CVE-2010-2883.A (charakterystyka PDF exploit). (Microsoft)
• SANS ISC diary: „Adobe SING table parsing exploit in the wild” (09/2010). (SANS Internet Storm Center)
• ATT&CK (v18.0): T1203, T1204.002, T1566.001 — opisy i detekcje. (attack.mitre.org)
• Reader X / sandbox (kontekst): omówienia mechanizmu i wpływu bezpieczeństwa. (Cert-IST)

---

Checklisty dla SOC / CISO (krótko)

SOC (operacyjne)

• Włącz i zbieraj: Security 4688 + Sysmon 1/3/11/15; Application 1000/1001.
• Alert: parent AcroRd32.exe/Acrobat.exe → powershell|wscript|rundll32|regsvr32|msiexec (+ warunki CommandLine).
• Korelacja: crash CoolType.dll ± połączenie sieciowe ± zapis w %APPDATA%.
• Triaging: wydobądź PDF, hash, ścieżki, drugie etapy; retro‑hunt.
• Blokada: IOC w mail/proxy/DNS, reguły EDR child‑process z czytników PDF.

CISO (strategiczne)

• Program aktualizacji: Reader/Acrobat ≥ 9.4/8.2.5 lub nowsze, preferuj wersje z Protected Mode.
• Szkolenia (M1017) — rozpoznawanie złośliwych PDF, polityka otwierania załączników.
• Pokrycie ATT&CK: T1566.001 / T1204.002 / T1203 — detekcje & testy (Atomic).
• Przegląd KEV / zarządzanie podatnościami — CVE-2010-2883 traktować jako historycznie wykorzystywaną podatność (wysoki priorytet, jeśli legacy).

---

Uwaga końcowa: Podatność jest historyczna, ale nadal pojawia się w dziedzictwie (legacy) oraz w zestawach testowych. Kluczowe są: aktualizacje, sandboxing czytnika PDF oraz detekcje łańcuchów po‑eksploatacyjnych z procesów AcroRd32.exe/Acrobat.exe.