Hierdie artikel is deel van die Fileless Malware-reeks. Alle ander dele van die reeks:
- (ons is hier)
In hierdie reeks artikels ondersoek ons aanvalmetodes wat minimale inspanning van die kant van kuberkrakers verg. In die verlede Ons het gedek dat dit moontlik is om die kode self in die DDE-outoveld-loonvrag in Microsoft Word in te voeg. Deur so 'n dokument wat aan 'n uitvissing-e-pos geheg is oop te maak, sal 'n onoplettende gebruiker die aanvaller toelaat om vastrapplek op sy rekenaar te kry. Aan die einde van 2017 het Microsoft egter hierdie skuiwergat vir aanvalle op DDE.
Die oplossing voeg 'n registerinskrywing by wat deaktiveer DDE funksies in Word. As jy steeds hierdie funksionaliteit benodig, kan jy hierdie opsie terugstuur deur die ou DDE-vermoëns te aktiveer.
Die oorspronklike pleister het egter net Microsoft Word gedek. Bestaan hierdie DDE-kwesbaarhede in ander Microsoft Office-produkte wat ook in geen-kode-aanvalle uitgebuit kan word? Ja seker. Byvoorbeeld, jy kan hulle ook in Excel vind.
Nag van die Lewende DDE
Ek onthou dat ek laas gestop het by die beskrywing van COM scriptlets. Ek belowe dat ek later in hierdie artikel by hulle sal uitkom.
Kom ons kyk intussen na 'n ander bose kant van DDE in die Excel-weergawe. Net soos in Word, sommige verborge kenmerke van DDE in Excel laat jou toe om kode uit te voer sonder veel moeite. As 'n Word-gebruiker wat grootgeword het, was ek vertroud met die velde, maar glad nie oor die funksies in DDE nie.
Ek was verbaas om te leer dat ek in Excel 'n dop uit 'n sel kan noem soos hieronder getoon:
Het jy geweet dat dit moontlik was? Persoonlik doen ek nie
Dit is 'n opsie om die dop te laat loop. Windows goedgunstiglik aan ons verskaf deur DDE. Ons kan aan baie ander pr dink
Toepassings waarmee jy kan koppel deur Excel se ingeboude DDE-funksies te gebruik.
Dink jy dieselfde ding as wat ek dink?
Laat ons in-sel-opdrag 'n PowerShell-sessie begin wat dan die skakel aflaai en uitvoer - dit , wat ons reeds voorheen gebruik het. Sien onder:
Plak net 'n bietjie PowerShell om afstandkode in Excel te laai en uit te voer
Maar daar is 'n vangplek: jy moet hierdie data uitdruklik in die sel invoer vir hierdie formule om in Excel te werk. Hoe kan 'n hacker hierdie DDE-opdrag op afstand uitvoer? Die feit is dat wanneer 'n Excel-tabel oop is, Excel sal probeer om al die skakels in DDE op te dateer. Trustsentrum-instellings het lankal die vermoë gehad om dit te deaktiveer of te waarsku wanneer skakels na eksterne databronne bygewerk word.
Selfs sonder die nuutste pleisters, kan jy outomatiese skakelopdatering in DDE deaktiveer
Microsoft oorspronklik self Maatskappye in 2017 moet outomatiese skakelopdaterings deaktiveer om DDE-kwesbaarhede in Word en Excel te voorkom. In Januarie 2018 het Microsoft pleisters vir Excel 2007, 2010 en 2013 vrygestel wat DDE by verstek deaktiveer. Hierdie Computerworld beskryf al die besonderhede van die pleister.
Wel, wat van gebeurtenislogboeke?
Microsoft het uiteindelik DDE vir MS Word en Excel laat vaar, en sodoende uiteindelik erken dat DDE meer soos 'n fout as funksionaliteit is. As jy om een of ander rede nog nie hierdie pleisters geïnstalleer het nie, kan jy steeds die risiko van 'n DDE-aanval verminder deur outomatiese skakelopdaterings te deaktiveer en instellings te aktiveer wat gebruikers vra om skakels op te dateer wanneer dokumente en sigblaaie oopgemaak word.
Nou die miljoen dollar-vraag: As jy 'n slagoffer van hierdie aanval is, sal PowerShell-sessies wat vanaf Word-velde of Excel-selle van stapel gestuur is in die log verskyn?
Vraag: Word PowerShell-sessies van stapel gestuur via DDE aangeteken? Antwoord: ja
Wanneer jy PowerShell-sessies direk vanaf 'n Excel-sel begin eerder as 'n makro, Windows sal hierdie gebeurtenisse aanteken (sien hierbo). Ek beweer egter nie dat dit maklik sal wees vir sekuriteitsdienste om die kolletjies tussen 'n PowerShell-sessie, 'n Excel-dokument en 'n e-posboodskap te verbind en uit te vind waar die aanval begin het nie. Ek sal hierna terugkeer in die laaste artikel van my nimmereindigende reeks oor ontwykende wanware.
Hoe is ons COM?
In die vorige Ek het die onderwerp van COM-skriplette aangeraak. Hulle is gerieflik op sigself. , wat jou toelaat om kode, sê JScript, bloot as 'n COM-voorwerp deur te gee. Maar toe is die scriptlets deur kuberkrakers ontdek, en dit het hulle toegelaat om vastrapplek op die slagoffer se rekenaar te kry sonder die gebruik van onnodige gereedskap. Hierdie Derbycon-konferensie demonstreer ingeboude gereedskap Windows, soos regsrv32 en rundll32, wat afgeleë skripte as argumente aanvaar, wat hackers toelaat om hul aanvalle in wese sonder die hulp van wanware uit te voer. Soos ek laas keer gedemonstreer het, kan jy maklik PowerShell-opdragte uitvoer met behulp van 'n JScript-skriptlet.
Dit het geblyk dat 'n mens baie slim is 'n manier gevind om 'n COM-scriptlet te laat loop в Excel dokument. Hy het ontdek dat wanneer hy probeer het om 'n skakel na 'n dokument of prent in 'n sel in te voeg, is 'n sekere pakkie daarin geplaas. En hierdie pakket aanvaar stilweg 'n afgeleë scriptlet as invoer (sien hieronder).
Boem! Nog 'n geheimsinnige, stil metode om 'n dop te begin deur COM-skrifskrifte te gebruik
Na 'n laevlak-kode-inspeksie het die navorser uitgevind wat dit werklik is fout in die pakket sagteware. Dit was nie bedoel om COM-skriplette uit te voer nie, maar slegs om na lêers te skakel. Ek is nie seker of daar reeds 'n pleister vir hierdie kwesbaarheid is nie. In my eie studie met Amazon WorkSpaces met Office 2010 vooraf geïnstalleer, kon ek die resultate herhaal. Toe ek egter 'n bietjie later weer probeer, het dit nie gewerk nie.
Ek hoop regtig dat ek jou baie interessante dinge vertel het en terselfdertyd gewys het dat hackers jou maatskappy op een of ander soortgelyke manier kan penetreer. Selfs al installeer jy al die nuutste Microsoft-pleisters, het kuberkrakers steeds baie hulpmiddels om 'n vastrapplek in jou stelsel te kry, van die VBA-makro's waarmee ek hierdie reeks begin het tot kwaadwillige loonvragte in Word of Excel.
In die laaste (ek belowe) artikel in hierdie sage sal ek praat oor hoe om slim beskerming te bied.
Bron: will.com
