Esecuzione via DDE: Dynamic Data Exchange (T1559.002)

La simulazione dell'abuso DDE in laboratorio è sorprendentemente semplice e non richiede strumenti sofisticati. L'obiettivo è dimostrare al cliente come un documento apparentemente innocuo possa generare esecuzione di codice senza alcuna macro, sfidando il pregiudizio diffuso secondo cui "basta disabilitare le macro per essere al sicuro".

Il metodo classico prevede la creazione di un documento Word con un campo DDE inserito manualmente. In Word, si utilizza la combinazione Ctrl+F9 per inserire un campo vuoto, poi si digita la formula DDE all'interno delle parentesi graffe. Una formula tipica da laboratorio è:

{ DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe" }

Questo campo, quando il documento viene aperto e l'utente accetta i prompt di sicurezza, lancia cmd.exe che a sua volta esegue calc.exe — la proof of concept canonica. Per scenari più realistici si può sostituire calc.exe con un payload PowerShell che stabilisce una reverse shell verso il server C2 del red team.

Per automatizzare la generazione dei documenti, il framework Metasploit (open source) offre un modulo dedicato. Si configura il listener e si genera il payload con:

use exploit/windows/fileformat/office_dde_delivery

Si impostano poi LHOST, LPORT e il tipo di payload desiderato. Il documento risultante contiene il campo DDE già configurato per il callback.

Un approccio alternativo sfrutta i file CSV. Inserendo in una cella una formula come =cmd|'/C powershell -ep bypass -e <base64>'!A0, il file CSV aperto con Excel tenterà di eseguire il comando tramite DDE. Questo vettore è particolarmente efficace nei contesti in cui il target si aspetta di ricevere file dati tabulari — report finanziari, export CRM, liste ordini.

Per la catena d'attacco completa in un engagement, la sequenza operativa è:

1. Generare il documento avvelenato (Word con DDEAUTO o CSV con formula)
2. Configurare un listener — msfconsole con exploit/multi/handler oppure un C2 come Cobalt Strike (a pagamento) o Sliver (open source)
3. Consegnare il documento via phishing simulato usando GoPhish (open source)
4. Verificare il callback e documentare la catena processo padre → figlio

Lato OLE, è possibile replicare il comportamento osservato in campagne reali incorporando un oggetto OLE in un documento Word tramite Inserisci → Oggetto → Crea da file. In laboratorio conviene usare un file .hta o un eseguibile benigno per dimostrare il concetto senza rischi.

Un controllo utile post-esecuzione: verificare che Sysmon (open source) logghi correttamente la relazione padre-figlio WINWORD.EXE → cmd.exe → powershell.exe. Questo dato serve sia a validare la detection che a fornire evidenza nel report.

La detection dell'abuso DDE si basa su un principio semplice ma potente: i processi Office non dovrebbero mai generare interpreti di comandi. Quando WINWORD.EXE o EXCEL.EXE spawna cmd.exe, powershell.exe o mshta.exe, qualcosa è andato storto. Questo pattern padre-figlio anomalo è il segnale primario su cui costruire l'intera strategia di alerting.

Le log source critiche sono Sysmon (open source, EventCode 1 — Process Creation) e il Security Event Log di Windows (EventID 4688 con command line auditing abilitato). Sysmon è preferibile perché cattura nativamente il campo ParentImage, rendendo immediata la correlazione. La regola di detection principale deve intercettare la creazione di processi dove il ParentImage corrisponde a un eseguibile Office e il processo figlio è un interprete di comandi o un LOLBin noto.

Oltre al processo tree, un secondo livello di detection riguarda le DLL caricate dai processi Office. Sysmon EventCode 7 (Image Loaded) permette di identificare il caricamento di moduli inattesi. Se WINWORD.EXE carica librerie associate a scripting o networking che non fanno parte del suo comportamento standard, l'evento merita investigazione.

Il terzo indicatore è il registro di sistema. Le chiavi che controllano il comportamento DDE in Office sono sotto il percorso HKCU\Software\Microsoft\Office\<versione>\<app>\Security. In particolare, il valore AllowDDE impostato a 2 riabilita completamente il protocollo. Un alert su modifiche a queste chiavi — tramite Sysmon EventCode 13 (Registry Value Set) — cattura tentativi di riabilitazione del vettore su macchine dove era stato disattivato.

Per il tuning dei falsi positivi, il pacchetto di detection suggerisce tre leve:

• AllowedParentChildPairs: definire le relazioni padre-figlio legittime per i processi Office (es. Word che lancia un visualizzatore PDF integrato)
• TimeWindow: impostare una finestra temporale per correlare la creazione del processo Office con l'esecuzione successiva via DDE — eventi distanziati di ore sono probabilmente legittimi
• SuspiciousDLLList: mantenere una allow/block list delle DLL che Office è autorizzato a caricare, aggiornata periodicamente

Sul fronte preventivo, le Attack Surface Reduction (ASR) rules di Microsoft Defender rappresentano il controllo più diretto. La regola specifica impedisce alle applicazioni Office di creare processi figlio, neutralizzando il vettore DDE alla radice. L'abilitazione avviene tramite Group Policy o PowerShell con il cmdlet Set-MpPreference. Si abiliti anche la Protected View, che impedisce l'esecuzione automatica di contenuti attivi nei documenti ricevuti dall'esterno.

Un SIEM come Splunk (a pagamento) o Elastic Security (freemium) può aggregare questi segnali in una correlation rule che alza la severità quando si verificano simultaneamente: apertura documento Office da allegato email + processo figlio anomalo + modifica registry DDE.

L'indagine forense su un incidente DDE parte quasi sempre dal documento malevolo. Il primo artefatto da cercare è il file Office stesso, tipicamente un .docx o .doc consegnato via email. I documenti Word moderni (formato OOXML) sono archivi ZIP: decomprimendoli, il campo DDE è visibile nel file word/document.xml come elemento <w:fldSimple> o <w:instrText> contenente la formula DDEAUTO.

Per i formati binari legacy .doc, lo strumento oletools (open source) — in particolare il modulo msodde — estrae automaticamente le formule DDE:

python msodde.py documento_sospetto.doc

Questo comando elenca tutte le istruzioni DDE presenti, mostrando il comando che sarebbe stato eseguito. Per gli oggetti OLE incorporati, oleid e olevba dello stesso pacchetto identificano le strutture embedded e segnalano la presenza di contenuti attivi.

La timeline dell'esecuzione si ricostruisce incrociando diversi artefatti. Il Prefetch di Windows registra l'esecuzione dei processi: i file .pf di cmd.exe e powershell.exe con timestamp coerenti all'apertura del documento confermano l'avvenuta esecuzione. Il percorso è C:\Windows\Prefetch\ e lo strumento PECmd di Eric Zimmerman (open source) li analizza estraendo timestamp e file referenziati.

Gli eventi Sysmon registrati offrono la catena completa. EventCode 1 mostra la sequenza WINWORD.EXE → cmd.exe → powershell.exe con tutti i parametri della command line, incluso l'eventuale payload base64. EventCode 3 (Network Connection) cattura la connessione verso il server C2 se il payload stabilisce un callback. Questi eventi vanno estratti con:

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object {$.Id -eq 1 -and $.Message -match "WINWORD"}

Un artefatto spesso trascurato è la Recent File Cache e i Jump List dell'utente, che confermano l'apertura del documento e il percorso da cui è stato eseguito — tipicamente la cartella dei download del browser o una directory temporanea del client email.

Per i file CSV malevoli, la formula DDE resta in chiaro nel file di testo. Un semplice grep o findstr per pattern come =cmd|, =MSEXCEL| o =DDE( identifica rapidamente i file avvelenati in un filesystem compromesso.

La correlazione con il traffico di rete completa il quadro. I log del proxy o del firewall mostrano le connessioni in uscita generate dal processo figlio di Office: tipicamente un download di secondo stadio da un server controllato dall'attaccante, seguito dalla comunicazione C2. L'incrocio tra timestamp di esecuzione processo e connessione di rete fornisce la prova definitiva della catena causale documento → esecuzione → esfiltrazione.

Il panorama degli attori che sfruttano DDE rivela un pattern chiaro: il protocollo è adottato trasversalmente da gruppi con motivazioni, capacità e geografie operative molto diverse. Questa diffusione indica che DDE rappresenta un vettore "a bassa barriera d'ingresso" nel toolkit offensivo, efficace tanto per operazioni di cyberspionaggio quanto per campagne finanziarie.

APT28 (noto anche come Fancy Bear, attribuito alla Russia) ha utilizzato documenti Word con campi DDE per distribuire i malware JHUHUGIT e Koadic, eseguendo comandi PowerShell senza ricorrere a macro. Il pattern è coerente con la predilezione del gruppo per vettori di delivery che minimizzano l'interazione dell'utente e aggirano i controlli sulle macro.

FIN7, gruppo a motivazione finanziaria tra i più prolifici, ha integrato DDE nelle proprie campagne di spear phishing attraverso documenti Word malevoli. TA505, altro attore finanziario ad alto volume, ha adottato la stessa tecnica, confermando che DDE è un vettore apprezzato nell'ecosistema del crimine finanziario organizzato. Il Cobalt Group, anch'esso orientato al settore finanziario, ha preferito documenti OLE compound — una variante tecnica che sfrutta lo stesso meccanismo sottostante.

Sul versante dello spionaggio statale, APT37 (Corea del Nord) ha utilizzato DDE per eseguire comandi e script VBS, mentre MuddyWater (Iran) ha impiegato malware capace di lanciare script PowerShell tramite DDE. Sidewinder (attribuito all'India) ha scelto un approccio diverso, creando oggetti OLE tramite ActiveXObject per ottenere esecuzione attraverso Internet Explorer. Leviathan (Cina) ha inserito contenuti OLE malevoli in documenti di phishing, e BITTER (Asia meridionale) ha sfruttato OLE con Microsoft Equation Editor per scaricare payload.

Patchwork e Gallmaker completano il quadro: il primo ha sfruttato il protocollo DDE direttamente, il secondo ha tentato di sfruttarlo per accesso iniziale ed esecuzione, dimostrando che anche gruppi con capacità tecniche minori trovano in DDE un vettore accessibile.

La campagna Operation Sharpshooter (C0013, settembre 2017 – marzo 2019) ha colpito settori strategici — nucleare, difesa, governativo, energetico e finanziario — in Germania, Turchia, Regno Unito e Stati Uniti. Gli attori hanno usato documenti Word OLE malevoli, e i ricercatori hanno notato significative sovrapposizioni con operazioni precedenti del Lazarus Group, inclusi lure basati su finte offerte di lavoro e codice malware condiviso.

Il trend strategico è chiaro: DDE rimane rilevante nonostante le mitigazioni disponibili, perché molte organizzazioni non hanno disabilitato esplicitamente il protocollo via registro. I gruppi che lo adottano tendono a combinarlo con spear phishing mirato e con payload di secondo stadio sofisticati — PowerShell encoded, RAT custom, strumenti di post-exploitation. Un'organizzazione che osserva tentativi DDE nei propri flussi email dovrebbe immediatamente verificare se il protocollo è stato disabilitato a livello di GPO e alzare il livello di monitoraggio sul segmento colpito.

Framework MITRE ATT&CK: T1559.002, TA0002, C0013 (Operation Sharpshooter). Detection: DET0504, AN1393. Mitigazioni: M1040, M1042, M1048, M1054. Tool di detection: Sysmon, oletools, PECmd. Integrato con conoscenza professionale per tool e procedure operative.