模板注入

对手可能会创建或修改用户文档模板中的引用以隐藏恶意代码或强制身份验证尝试。例如，Microsoft的Office Open XML (OOXML)规范定义了一种基于XML的Office文档格式（.docx、.xlsx、.pptx）以取代旧的二进制格式（.doc、.xls、.ppt）。OOXML文件是由各种XML文件组成的ZIP归档文件，称为部分，包含定义文档如何呈现的属性。(引用: Microsoft Open XML July 2017) 部分中的属性可能引用通过在线URL访问的共享公共资源。例如，模板属性可能引用一个文件，作为预格式化的文档蓝图，在加载文档时获取。 对手可能会滥用这些模板来最初隐藏通过用户文档执行的恶意代码。注入文档的模板引用可能允许在加载文档时获取和执行恶意负载。(引用: SANS Brian Wiltse Template Injection) 这些文档可以通过其他技术如网络钓鱼和/或污染共享内容传递，并且可能会逃避静态检测，因为在获取恶意负载之前没有典型的指示器（VBA宏、脚本等）存在。(引用: Redxorblue Remote Template Injection) 在野外已经看到的示例中，模板注入被用来加载包含漏洞利用的恶意代码。(引用: MalwareBytes Template Injection OCT 2017) 对手还可能修改*\template控制字在.rtf文件中类似地隐藏然后下载恶意代码。这个合法的控制字值旨在成为模板文件资源的文件目标，在打开.rtf文件时检索和加载。然而，对手可能会更改现有.rtf文件的字节以插入模板控制字字段，包括恶意负载的URL资源。(引用: Proofpoint RTF Injection)(引用: Ciberseguridad Decoding malicious RTF files) 此技术还可能通过注入SMB/HTTPS（或其他凭证提示）URL并触发身份验证尝试来启用强制身份验证。(引用: Anomali Template Injection MAR 2018)(引用: Talos Template Injection July 2017)(引用: ryhanson phishery SEPT 2016)