Monday, February 22, 2016

More on Trust Records, Macros and Security, Oh My!


There is a registry key that keeps track of which documents a user has enabled editing and macros for from untrusted locations. This happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user clicks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Enable Editing" button on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Office Protect View warning:



These can include documents that are downloaded from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, or sent via email. This registry key is affectionately known as "Trust Records".  When a user clicks this warning, an entry is made under HKCU\Software\Microsoft\Office\15\Word\Security\Trusted Documents\TrustRecords that contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version number may vary - I've tested 14 and 15).
 
This is by no means a new artifact. There are several blog posts that discuss this artifact, including one by Andrew Case and Harlan Carvey - however, I believe I may have some new light to shed on this artifact. Well, I couldn't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information by using Google, so it's new to me.

What I found was that an entry can exist under this key, but that does not necessarily mean that macros were enabled. In order to determine if macros were enabled, a flag/value needs to be checked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary data. Additionally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trust Center macro settings may need to be checked as well. The user can turn off this security prompt in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trust Center and trust all documents by default. If this happens, no entry will be made under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trust Records because all documents are trusted.

Why all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuss over macros? Who uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m anyways??? Take for example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest ransomware variant, Locky. Locky utilizes macros in a Word document to pull down it's payload. After a company get hits with something like this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may want to know "How did this happen?" and "How can we prevent it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?".

The Trusted Records registry key can help answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions. Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user take affirmative steps by enabling editing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document? Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r step and enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macros? If so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company may need to spend more time training employees on better security practices. Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system setup to trust all documents by default? If so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may need to reconfigure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir GPO.

The Trusted Records key can also contain references to artifacts that may no longer exist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, add context to your timeline, and demonstrates that a user explicitly interacted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. 

Trusted Records Registry Key

In Word 2010 (v.14)  and 2013 (v.15) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are actually two yellow banners presented to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user when macros are in a Word document. The first asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to "Enable Editing":


After this button is clicked, an entry is created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document name, path and time stamp. According to some testing that Harlan did (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing I did confirmed this as well), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 create date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document, NOT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user enabled editing:


The output from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper plugin trustrecords  is displayed below:

trustrecords v.20120716
Word
LastPurgeTime = Thu Oct  8 20:38:08 1970
Sat Feb 20 14:25:53 2016 -> %USERPROFILE%/Downloads/test-document.doc

At this point in time, I have NOT clicked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second button to enable macros, yet an entry was made under this key.

After I enable editing, a second banner pops up asking me if I would like to "Enable Content", which will enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macros:


After I clicked this (based on my testing) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last for bytes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary data changes to FF FF FF 7F:



This means in order to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user enable macros, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se last four bytes needs to be checked.

Security Registry Key

The user can completely bypass this yellow banner by disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro notifications. This means that an entry will not be recorded under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Document key even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user ran a malicious document containing macros downloaded from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. These setting are controlled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trust Center under Options > Trust Center > Macro Settings. There are four security levels to choose from:



These setting are stored under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry key HKCU\Software\Microsoft\Office\15.0\Word\Security\. Based on my testing, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user has not altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default settings, this key does not contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value "VBAWarnings". However, if changes are made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default settings, an entry for VBAWarrnings will appear, and will have a DWORD value:


Based on my testing with Word 2015, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Macro Settings and corresponding values for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry flag:

  • Disable all macros without notification : 4
  • Disable all macros with notification: 2
  • Disable all macros except digitally signed macros: 3
  • Enable all macros: 1

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se setting are also affect by a GPO, but I have not been able to confirm this yet through testing.

My testing was done using Office 2015 on Windows 7 and Office 2010 on Windows 10. These setting may also apply to Excel, Access and PowerPoint, but I have not tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.


So, to summarize:

1) These artifacts may remain after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious document has been removed. They may also be shown in your timeline if you are using a tool like regtime.exe to add registry keys into your timeline.

2) If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an entry for a document under Trusted Records, this does not necessarily mean that macros were enabled. The flag needs to be checked to make that determination.

3) If a document does not appear under this key, this does not mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macros were not able to run. They could still have ran if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default setting was altered to enable all macros by default.




Additional Resources:

NTUSER Trust Records

Plan and configure Trusted Locations settings for Office 2013

HowTo: Determine User Access To Files



1 comment:

  1. Looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry change it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for v16 as well. Thanks for posting this, it helped me figure out if a user clicked on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document or not.

    ReplyDelete