Iniezione di Template nei Documenti: Template Injection (T1221)

L'iniezione di template si replica in laboratorio con strumenti minimi. Il flusso base prevede tre fasi: creazione del documento esca, hosting del template malevolo e verifica della callback.

Preparazione del template malevolo. Serve un file .dotm (template Word con macro) ospitato su un server HTTP controllato. Per il lab, un semplice listener Python è sufficiente:

python3 -m http.server 8080

Questo servirà il file .dotm dalla directory corrente. La macro nel template può contenere un semplice comando di callback — in ambito red team, una shell Empire o Cobalt Strike, in lab un banale calc.exe per confermare l'esecuzione.

Iniezione nel documento OOXML. Un file .docx è un archivio ZIP. Basta decomprimerlo, modificare il file word/_rels/settings.xml.rels e alterare l'attributo Target della relazione di tipo attachedTemplate con la URL del proprio server. Poi si ricomprime il tutto:

unzip documento.docx -d doc_esploso

All'interno di word/_rels/settings.xml.rels, il nodo Relationship con tipo attachedTemplate va modificato sostituendo il valore Target con l'indirizzo del listener. Dopo la modifica:

cd doc_esploso && zip -r ../documento_malevolo.docx .

Phishery per il Forced Authentication. Il tool open source Phishery (open source) è stato usato in campagne reali da DarkHydrus. Permette di iniettare automaticamente una URL di template remoto in un documento Word esistente, semplificando il processo e orientandolo alla raccolta di credenziali NTLM. In combinazione con Responder (open source), si intercettano gli hash NTLMv2 quando la vittima apre il documento e il sistema tenta l'autenticazione SMB verso il server dell'attaccante.

Variante RTF. Per i file RTF l'approccio è diverso: si manipola il control word \*\template inserendo la URL malevola direttamente nel testo RTF con un editor esadecimale o tramite script. Strumenti come oletools (open source), in particolare il modulo rtfobj, consentono sia di analizzare che di comprendere la struttura dei file RTF prima dell'iniezione.

Per la validazione, si monitora il listener HTTP: al momento dell'apertura del documento, si deve osservare la richiesta GET per il template. Sul lato Forced Authentication, Responder cattura gli hash sul listener SMB. È raccomandabile eseguire questi test in un ambiente isolato con macchine virtuali snapshot-based, senza connettività verso reti di produzione.

Il cuore della detection per T1221 è il monitoraggio delle connessioni di rete originate da processi documentali. Un file Word o Excel non dovrebbe, nella maggior parte degli ambienti, connettersi a server esterni al momento dell'apertura — e quando lo fa per template legittimi, le destinazioni sono prevedibili e interne.

Log source primaria: Sysmon. La detection documentata (DET0566) si basa sui log WinEventLog:Sysmon. Due EventCode sono fondamentali:

• EventCode 3 (Network Connection): filtra per Image contenente winword.exe, excel.exe o powerpnt.exe. Ogni connessione in uscita verso IP esterni merita attenzione, specialmente su porte 80, 443 e 445 (SMB per Forced Authentication).
• EventCode 1 (Process Creation): correla la connessione di rete con la creazione di processi figli anomali da parte dell'applicazione Office. Se winword.exe genera powershell.exe, cmd.exe, mshta.exe o certutil.exe, si tratta quasi certamente di esecuzione post-template injection.

La correlazione tra i due eventi è la chiave. Una regola efficace prevede una finestra temporale configurabile — tipicamente 30-60 secondi — tra la connessione di rete del processo Office e la creazione del processo figlio sospetto. Il parametro di tuning ChildProcessAnomalyThreshold permette di calibrare la soglia: in ambienti dove gli utenti usano add-in legittimi che generano processi, il threshold va alzato; in ambienti standard, qualsiasi child process da Office è anomalo.

Tuning dei falsi positivi. Il parametro TemplateURLPatterns consente di creare whitelist per template aziendali legittimi ospitati su SharePoint o file server interni. Senza questa whitelist, in organizzazioni che usano template centralizzati il rumore sarà elevato. La raccomandazione è di popolare la whitelist con le URL dei repository documentali aziendali e monitorare per due settimane in modalità audit prima di attivare il blocco.

Livello rete. I sistemi Network Intrusion Prevention (mitigazione M1031) possono ispezionare il traffico HTTP in uscita alla ricerca di risposte contenenti file .dotm, .dot o payload OLE. Le soluzioni di sandboxing documentale (detonation chambers) rappresentano un ulteriore livello: aprono il documento in ambiente isolato, osservano le callback e classificano il file prima che raggiunga la mailbox dell'utente.

Per il Forced Authentication via SMB, monitorare EventCode 3 su porta 445 in uscita verso IP esterni è un indicatore ad altissima fedeltà: in ambienti enterprise, il traffico SMB verso Internet non dovrebbe mai verificarsi.

L'analisi forense di un attacco T1221 parte dal documento stesso e si espande verso gli artefatti di rete e di esecuzione lasciati sull'endpoint.

Analisi del documento. Il primo passo è estrarre e ispezionare la struttura interna del file sospetto. Per i documenti OOXML, la decompressione ZIP rivela il contenuto di word/_rels/settings.xml.rels: la presenza di una URL esterna nel campo Target della relazione attachedTemplate è l'indicatore primario. Il tool oletools (open source), con il modulo olevba per i file OLE e rtfobj per gli RTF, consente di automatizzare questa analisi:

python3 -m oletools.olevba documento_sospetto.docx

Per i file RTF, si cerca il control word \*\template seguito da una URL. Il modulo rtfobj estrae gli oggetti embedded e identifica URL anomale:

python3 -m oletools.rtfobj documento_sospetto.rtf

Artefatti endpoint. Sul sistema della vittima, gli artefatti chiave si trovano in diverse posizioni. La cache dei template di Office, tipicamente sotto %AppData%\Microsoft\Templates, può contenere il file .dotm scaricato. La Temporary Internet Files cache e la INetCache di Windows conservano tracce dei download HTTP effettuati da Office.

I log Sysmon, se abilitati, forniscono la timeline precisa: EventCode 3 registra la connessione di rete con timestamp, IP di destinazione e porta; EventCode 1 documenta eventuali processi figli. L'incrocio di questi due eventi ricostruisce la sequenza apertura → download template → esecuzione payload.

I Prefetch di Windows (file .pf in C:\Windows\Prefetch) confermano l'esecuzione dei processi coinvolti e ne registrano il timestamp. Se WINWORD.EXE-{hash}.pf mostra un'esecuzione seguita a breve da POWERSHELL.EXE-{hash}.pf, il pattern è coerente con template injection seguita da esecuzione di macro.

Artefatti di rete. I log proxy e DNS sono fondamentali per identificare il server C2 che ha ospitato il template. Se l'attacco ha usato Forced Authentication via SMB, i log del firewall perimetrale registrano il tentativo di connessione sulla porta 445 verso l'IP dell'attaccante. Negli ambienti con log NTLM abilitati, il Security Event Log con EventCode 4624 (tipo 3, network logon) o EventCode 4648 (logon esplicito) può rivelare il tentativo di autenticazione forzata.

Nella campagna Operation Dream Job (C0022), i documenti DOCX recuperavano file DOTM remoti — un pattern che lascia tracce sia nella cache di Office sia nei log proxy, rendendo la ricostruzione della timeline relativamente lineare quando i log sono disponibili.

La tecnica T1221 è adottata da un insieme eterogeneo di attori, ma emergono pattern chiari che aiutano a profilare le operazioni.

APT28 (G0007) utilizza documenti Word con la funzione remote template per recuperare macro malevole. Questo approccio a due stadi — documento pulito in fase di delivery, macro scaricata solo all'apertura — è tipico di un attore che affronta difensori sofisticati e necessita di bypassare sandboxing e gateway email. Il focus di APT28 su target governativi e militari rende questa tecnica particolarmente efficace: gli ambienti target spesso analizzano gli allegati ma non sempre ispezionano le callback successive.

Gamaredon Group (G0047) è forse l'utilizzatore più prolifico di template injection. Impiega sia file DOCX che scaricano template DOT malevoli, sia RTF template injection per il download di payload. Un elemento distintivo è la capacità di iniettare template remoti o macro malevole in documenti già presenti su sistemi compromessi — una forma di Taint Shared Content che amplifica la propagazione laterale. Questo profilo operativo suggerisce un attore orientato al volume, con infrastruttura C2 rapidamente rotabile.

DarkHydrus (G0079) si distingue per l'uso esplicito di Phishery, un tool open source, per iniettare URL di template remoti in documenti Word con l'obiettivo specifico di Forced Authentication. Questa scelta — raccolta di credenziali NTLM piuttosto che esecuzione di codice — indica un attore che privilegia l'accesso iniziale tramite credential harvesting.

Dragonfly (G0035) segue un pattern simile, iniettando URL SMB in allegati Word di spearphishing per forzare l'autenticazione. La convergenza tra DarkHydrus e Dragonfly sull'uso di Forced Authentication via template injection suggerisce che questo sotto-pattern è particolarmente efficace contro ambienti dove il traffico SMB in uscita non è adeguatamente filtrato.

Nelle campagne documentate, Operation Dream Job (C0022, attribuita a Lazarus Group, 2019-2020) ha utilizzato file DOCX per recuperare template DOTM malevoli in un'operazione di cyber-spionaggio contro settori difesa, aerospaziale e governativo negli USA, Israele, Australia, Russia e India. Frankenstein (C0001, gennaio-aprile 2019), condotta da attori non identificati ma altamente resourceful, ha impiegato documenti trojanizzati che recuperavano template remoti, basandosi pesantemente su tool open source come Empire.

Il pattern emergente è chiaro: la template injection funziona come "strato di indirezione" che separa il documento esca dal payload finale, permettendo all'attaccante di aggiornare il payload server-side senza ricreare il documento. I software Chaes (S0631) e WarzoneRAT (S0670) dimostrano che anche il malware commodity adotta questa tecnica — Chaes modifica il settings.xml per puntare al payload successivo, WarzoneRAT si installa tramite DLL embedded in template RTF inseriti in documenti Word.

Framework MITRE ATT&CK v16 — T1221 (Template Injection), TA0005 (Defense Evasion). Campagne: C0022 (Operation Dream Job), C0001 (Frankenstein). Detection: DET0566, WinEventLog:Sysmon (EventCode 1, 3). Integrato con conoscenza professionale per tool e procedure operative (oletools, Phishery, Responder, Sysmon).