ይህ መጣጥፍ ፋይል አልባ ማልዌር ተከታታይ አካል ነው። ሁሉም የተከታታዩ ክፍሎች፡-
- የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል IV፡ DDE እና የቃል ሰነድ መስኮች (እኛ እዚህ ነን)
በዚህ ጽሑፍ ውስጥ፣ ስርዓቱን ከመሰካት ጋር ወደ ይበልጥ ውስብስብ ባለብዙ ደረጃ ፋይል አልባ የጥቃት ትዕይንት ውስጥ ልገባ ነበር። ግን ከዚያ በኋላ በሚገርም ሁኔታ ቀላል የሆነ ኮድ-የለም - Word ወይም Excel ማክሮዎች አያስፈልግም! እናም ይህ በዚህ ተከታታይ መጣጥፎች መሠረት የእኔ የመጀመሪያ መላምት የበለጠ ውጤታማ በሆነ መንገድ ያረጋግጣል፡ የየትኛውንም ድርጅት ውጫዊ ክፍል መስበር በጭራሽ ከባድ ስራ አይደለም።
እኔ የምገልጸው የመጀመሪያው ጥቃት የማይክሮሶፍት ዎርድን ተጋላጭነት ይጠቀማል ጊዜው ያለፈበት (DDE). እሷ ቀድሞ ነበረች። . ሁለተኛው የማይክሮሶፍት COM እና የነገሮችን ማስተላለፍ ችሎታዎች የበለጠ አጠቃላይ ተጋላጭነትን ይጠቀማል።
ከዲዲኢ ጋር ወደ ፊት ተመለስ
ሌላ ሰው DDE ያስታውሳል? ምናልባት ብዙ ላይሆን ይችላል። ከመጀመሪያዎቹ አንዱ ነበር አፕሊኬሽኖች እና መሳሪያዎች መረጃን እንዲያስተላልፉ የሚፈቅዱ የመሃል ሂደት የግንኙነት ፕሮቶኮሎች.
እኔ ራሴ ትንሽ አውቀዋለሁ ምክንያቱም የቴሌኮም መሳሪያዎችን እፈትሽ እና እሞክር ነበር። በዚያን ጊዜ DDE ለምሳሌ የጥሪ ማእከል ኦፕሬተሮች የደዋይ መታወቂያ ወደ CRM መተግበሪያ እንዲያስተላልፉ ፈቅዷል፣ ይህም በመጨረሻ የደንበኛ ካርድ ከፈተ። ይህንን ለማድረግ የRS-232 ገመድ በስልክዎ እና በኮምፒተርዎ መካከል ማገናኘት ነበረቦት። እነዚያ ቀናት ነበሩ!
እንደ ተለወጠ, ማይክሮሶፍት ዎርድ አሁንም ነው ዲ.ዲ.ኢ.
ይህን ጥቃት ያለ ኮድ ውጤታማ የሚያደርገው የDDE ፕሮቶኮሉን ማግኘት መቻልዎ ነው። በቀጥታ በ Word ሰነድ ውስጥ ካሉ አውቶማቲክ መስኮች (ባርኔጣ ወደ SensePost ለ ስለ እሱ)።
የመስክ ኮዶች ተለዋዋጭ ጽሑፍን እና ትንሽ ፕሮግራሚንግ በሰነድዎ ላይ እንዲያክሉ የሚያስችልዎ ሌላ ጥንታዊ የ MS Word ባህሪ ነው። በጣም ግልጽ የሆነው ምሳሌ የገጽ ቁጥር መስክ ነው፣ ይህም ዋጋ {PAGE *MERGEFORMAT}ን በመጠቀም ወደ ግርጌው ውስጥ ሊገባ ይችላል። ይህ የገጽ ቁጥሮች በራስ ሰር እንዲፈጠሩ ያስችላል።
ፍንጭ፡ የሜዳ ሜኑ ንጥሉን አስገባ ስር ማግኘት ትችላለህ።
ይህን ባህሪ በ Word ውስጥ ለመጀመሪያ ጊዜ ሳገኘው በጣም እንደገረመኝ አስታውሳለሁ. እና ማጣበቂያው እስኪያሰናክል ድረስ፣ Word አሁንም የDDE መስኮችን ምርጫ ይደግፋል። ሀሳቡ DDE ዎርድ ከመተግበሪያው ጋር በቀጥታ እንዲገናኝ ይፈቅድለታል፣ ስለዚህም የፕሮግራሙን ውጤት ወደ ሰነድ ማስተላለፍ ይችላል። በዚያን ጊዜ በጣም ወጣት ቴክኖሎጂ ነበር - ከውጭ መተግበሪያዎች ጋር ለመረጃ ልውውጥ ድጋፍ። በኋላም ወደ COM ቴክኖሎጂ የተሰራ ሲሆን ይህም ከታች እንመለከታለን.
ውሎ አድሮ ጠላፊዎቹ ይህ የዲዲኢ አፕሊኬሽን የትእዛዝ ሼል ሊሆን እንደሚችል ተገንዝበዋል፣ እሱም በእርግጥ PowerShellን ጀምሯል፣ እና ከዚያ ጠላፊዎቹ የፈለጉትን ማድረግ ይችላሉ።
ከታች ያለው ቅጽበታዊ ገጽ እይታ ይህን የድብቅ ዘዴ እንዴት እንደተጠቀምኩ ያሳያል፡ ከዲዲኢ መስክ ትንሽ የPowerShell ስክሪፕት (ከዚህ በኋላ PS ተብሎ የሚጠራው) ሌላ የPS ስክሪፕት ይጭናል፣ ይህም የጥቃቱን ሁለተኛ ደረጃ ያስጀምራል።
አብሮ የተሰራው DDEAUTO መስክ ዛጎሉን ለመጀመር በድብቅ እየሞከረ መሆኑን ለዊንዶውስ ብቅ-ባይ ማስጠንቀቂያ እናመሰግናለን
ተጋላጭነቱን የመጠቀም ተመራጭ ዘዴ ከDDEAUTO መስክ ጋር ተለዋጭ መጠቀም ነው ፣ ይህም ስክሪፕቱን በራስ-ሰር ይሠራል ሲከፈት የቃል ሰነድ.
በዚህ ጉዳይ ምን ማድረግ እንደምንችል እናስብ።
እንደ ጀማሪ ጠላፊ፣ ለምሳሌ የማስገር ኢሜይል መላክ፣ ከፌዴራል ታክስ አገልግሎት እንደሆንክ በማስመሰል የDDEAUTO መስኩን በPS ስክሪፕት ለመጀመሪያው ደረጃ መክተት ትችላለህ ( dropper፣ በመሠረቱ)። እና እኔ እንዳደረኩት ምንም አይነት ትክክለኛ የማክሮዎች ወዘተ ኮድ ማድረግ አያስፈልግዎትም
ተጎጂው ሰነድዎን ይከፍታል, የተከተተው ስክሪፕት ነቅቷል እና ጠላፊው በኮምፒዩተር ውስጥ ያበቃል. በእኔ ሁኔታ፣ የርቀት ፒኤስ ስክሪፕት መልዕክትን ብቻ ያትማል፣ ነገር ግን የPS Empire ደንበኛን በቀላሉ ማስጀመር ይችላል፣ ይህም የርቀት ሼል መዳረሻን ይሰጣል።
እና ተጎጂው ማንኛውንም ነገር ለመናገር ጊዜ ከማግኘቱ በፊት ጠላፊዎች በመንደሩ ውስጥ በጣም ሀብታም ታዳጊዎች ይሆናሉ.
ዛጎሉ ምንም እንኳን ትንሽ ኮድ ሳይደረግ ተጀመረ። አንድ ልጅ እንኳን ማድረግ ይችላል!
DDE እና መስኮች
ማይክሮሶፍት በኋላ ላይ DDE በ Word ውስጥ አሰናክሏል ፣ ግን ኩባንያው ባህሪው በቀላሉ አላግባብ ጥቅም ላይ እንደዋለ ከመግለጹ በፊት አይደለም። ምንም ነገር ለመለወጥ አለመፈለጋቸው ለመረዳት የሚቻል ነው. በእኔ ልምድ፣ እኔ ራሴ ሰነድ ሲከፍቱ መስኮችን ማዘመን የነቃበትን ምሳሌ አይቻለሁ፣ ነገር ግን Word ማክሮዎች በ IT ተሰናክለዋል (ነገር ግን ማሳወቂያን ያሳያል)። በነገራችን ላይ በ Word ቅንብሮች ክፍል ውስጥ ተዛማጅ ቅንብሮችን ማግኘት ይችላሉ.
ነገር ግን የመስክ ማዘመን ቢነቃም ማይክሮሶፍት ዎርድ ከዚህ በላይ በዲዲኢ እንደተገለፀው አንድ መስክ የተሰረዘ ውሂብ እንዲደርስ ሲጠይቅ ለተጠቃሚው ያሳውቃል። ማይክሮሶፍት በእርግጥ እያስጠነቀቀዎት ነው።
ግን ምናልባት ተጠቃሚዎች አሁንም ይህንን ማስጠንቀቂያ ችላ ይሉታል እና የመስኮች ዝመናዎችን በ Word ውስጥ ያነቃሉ። ማይክሮሶፍት አደገኛውን DDE ባህሪ ስላሰናከለው ለማመስገን ከስንት አጋጣሚዎች አንዱ ነው።
ዛሬ ያልተሸፈነ የዊንዶውስ ስርዓት ማግኘት ምን ያህል ከባድ ነው?
ለዚህ ሙከራ፣ ምናባዊ ዴስክቶፕን ለመድረስ AWS Workspaces ተጠቀምኩ። በዚህ መንገድ የDDEAUTO መስኩን እንዳስገባ የፈቀደልኝ ያልተጣበቀ MS Office ቨርቹዋል ማሽን አገኘሁ። በተመሳሳይ መንገድ አስፈላጊውን የደህንነት ጥገና ያላደረጉ ሌሎች ኩባንያዎችን ማግኘት እንደሚችሉ አልጠራጠርም.
የነገሮች ምስጢር
ይህን ፕላስተር የጫኑት ቢሆንም፣ በ MS Office ውስጥ ጠላፊዎች በ Word ካደረግነው ጋር ተመሳሳይ የሆነ ነገር እንዲያደርጉ የሚፈቅዱ ሌሎች የደህንነት ቀዳዳዎች አሉ። በሚቀጥለው ሁኔታ እንማራለን ምንም ኮድ ሳይጽፉ ኤክሴልን ለአስጋሪ ጥቃት እንደ ማጥመጃ ይጠቀሙ።
ይህንን ሁኔታ ለመረዳት የማይክሮሶፍት አካል ነገር ሞዴልን ወይም በአጭሩ እናስታውስ COM (የቁስ አካል ሞዴል).
COM ከ1990ዎቹ ጀምሮ የነበረ ሲሆን በ RPC የርቀት አሰራር ጥሪዎች ላይ በመመስረት እንደ "ቋንቋ-ገለልተኛ፣ ነገር-ተኮር አካል ሞዴል" ተብሎ ይገለጻል። ስለ COM ቃላት አጠቃላይ ግንዛቤ ያንብቡ በ StackOverflow ላይ።
በመሠረቱ፣ የ COM መተግበሪያን እንደ ኤክሴል ወይም ዎርድ executable፣ ወይም ሌላ የሚሰራ ሁለትዮሽ ፋይል አድርገው ሊያስቡ ይችላሉ።
የ COM መተግበሪያ እንዲሁ ሊሠራ ይችላል። ሁኔታ - JavaScript ወይም VBScript. በቴክኒክ ይባላል ስክሪፕት. በዊንዶውስ ውስጥ ለፋይሎች .sct ቅጥያ አይተው ይሆናል - ይህ ለስክሪፕቶች ኦፊሴላዊ ቅጥያ ነው። በመሰረቱ፣ በኤክስኤምኤል መጠቅለያ የተጠቀለለ የስክሪፕት ኮድ ናቸው።
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
ጠላፊዎች እና ፔንቴተሮች በዊንዶውስ ውስጥ COM እቃዎችን የሚቀበሉ የተለያዩ መገልገያዎች እና አፕሊኬሽኖች እንዳሉ ደርሰውበታል እና በዚህ መሰረት ስክሪፕቶችም እንዲሁ።
pubprn በተባለው በVBS የተጻፈውን የዊንዶውስ መገልገያ ስክሪፕት ማለፍ እችላለሁ። በC: Windowssystem32Printing_Admin_Scripts ጥልቀት ውስጥ ይገኛል። በነገራችን ላይ እቃዎችን እንደ መለኪያዎች የሚቀበሉ ሌሎች የዊንዶውስ መገልገያዎች አሉ. አስቀድመን ይህን ምሳሌ እንመልከት።
ዛጎሉ ከህትመት ስክሪፕት እንኳን ሊነሳ መቻሉ በጣም ተፈጥሯዊ ነው። ማይክሮሶፍት ሂድ!
ለሙከራ ያህል፣ ሼል የሚያስከፍት እና “ልክ ስክሪፕት ተጽፎልሃል!” የሚል አስቂኝ መልእክት የሚያተም ቀላል የርቀት ስክሪፕት ፈጠርኩ። በመሠረቱ፣ pubprn የስክሪፕት ጽሁፍ ነገርን ያፋጥናል፣ ይህም የVBScript ኮድ መጠቅለያ እንዲያሄድ ያስችለዋል። ይህ ዘዴ በስርዓትዎ ውስጥ ሾልከው ለመግባት እና ለመደበቅ ለሚፈልጉ ጠላፊዎች ግልጽ የሆነ ጥቅም ይሰጣል።
በሚቀጥለው ጽሁፍ የ COM ስክሪፕቶች የ Excel ተመን ሉሆችን ተጠቅመው በጠላፊዎች እንዴት ሊጠቀሙበት እንደሚችሉ እገልጻለሁ።
ለቤት ስራዎ ይመልከቱ ከደርቢኮን 2016፣ ይህም ጠላፊዎች ስክሪፕቶችን እንዴት እንደተጠቀሙ በትክክል ያብራራል። እንዲሁም ያንብቡ ስለ ስክሪፕቶች እና አንዳንድ ዓይነት moniker።
ምንጭ: hab.com