RegisterXLLとAutoruns
トレンドマイクロ社のブログ「ChessMaster’s New Strategy: Evolving Tools and Tactics」には下記の記述があります。
The Powershell script leverages RegisterXLL, which is a component of Excel, to load BKDR_ANEL into Excel.exe
マルウェアは Excel の RegisterXLL を利用して起動しているようです、この仕組みは「Add-In Opportunities for Office Persistence」内の XLL “Add-Ins” for Excel" の項目が参考になります。
確認できるマルウェアファイルが無いので、実際にマルウェアが動作した場合にレジストリキーへ登録されるか未確認です。
アドインがレジストリキーに登録される場合、下記レジストリキーに OPTION 値として登録されます。
HKEY_CURRENT_USER\Software\Microsoft\Office\<Version>\Excel\Options
Excel 2016 環境で XLL をアドインとして登録し、レジストリキーを確認します。OPEN 値に xll が登録されています。
Autoruns 13.80 で Office タブを確認。Option キーがチェック対象ではない為、Autoruns からは XLL の登録を確認できません。
XLL ファイルは DLL ですので、署名が無い DLL ファイルをチェックするなど、別の確認手段で発見する必要があります。
参考URL:
Execute a DLL via .xll files and the Excel.Application object's RegisterXLL() method · GitHub
GitHub - MoooKitty/xllpoc: Code Exec via Excel