مغامرات البرامج الضارة المراوغة، الجزء الخامس: المزيد من البرامج النصية DDE وCOM

هذه المقالة جزء من سلسلة Fileless Malware. جميع الأجزاء الأخرى من السلسلة:

• مغامرات مالفاري المراوغ ، الجزء الأول
• مغامرات البرامج الضارة المراوغة، الجزء الثاني: نصوص VBA السرية
• مغامرات البرامج الضارة المراوغة، الجزء الثالث: نصوص VBA المتشابكة للضحك والربح
• مغامرات البرامج الضارة المراوغة، الجزء الرابع: حقول مستندات DDE وWord
• مغامرات البرامج الضارة المراوغة، الجزء الخامس: المزيد من البرامج النصية DDE وCOM (نحن هنا)

في هذه السلسلة من المقالات، نستكشف طرق الهجوم التي تتطلب الحد الأدنى من الجهد من جانب المتسللين. في الماضي مقالة لقد تناولنا أنه من الممكن إدراج الكود نفسه في حمولة الحقل التلقائي DDE في Microsoft Word. ومن خلال فتح مثل هذا المستند المرفق برسالة بريد إلكتروني تصيدية، سيسمح المستخدم غير الحذر للمهاجم بالحصول على موطئ قدم على جهاز الكمبيوتر الخاص به. ومع ذلك، في نهاية عام 2017، مايكروسوفت مغلق هذه الثغرة للهجمات على DDE.
يضيف الإصلاح إدخال تسجيل يؤدي إلى تعطيله وظائف DDE في كلمة. إذا كنت لا تزال بحاجة إلى هذه الوظيفة، فيمكنك إرجاع هذا الخيار عن طريق تمكين إمكانات DDE القديمة.

ومع ذلك، فإن التصحيح الأصلي يغطي فقط برنامج Microsoft Word. هل توجد ثغرات DDE هذه في منتجات Microsoft Office الأخرى والتي يمكن استغلالها أيضًا في الهجمات بدون تعليمات برمجية؟ نعم بالتأكيد. على سبيل المثال، يمكنك أيضًا العثور عليها في Excel.

ليلة الحياة DDE

أتذكر أنني توقفت في المرة الأخيرة عند وصف البرامج النصية لـ COM. وأعدك بأنني سأصل إليهم لاحقًا في هذه المقالة.

في غضون ذلك، دعونا نلقي نظرة على الجانب الشرير الآخر من DDE في إصدار Excel. تمامًا كما هو الحال في Word، بعض الميزات المخفية لـ DDE في Excel تسمح لك بتنفيذ التعليمات البرمجية دون بذل الكثير من الجهد. باعتباري أحد مستخدمي Word الذين نشأوا، كنت على دراية بالحقول، ولكن ليس على الإطلاق بالوظائف الموجودة في DDE.

لقد اندهشت عندما علمت أنه في Excel يمكنني استدعاء Shell من خلية كما هو موضح أدناه:

هل تعلم أن هذا كان ممكنا؟ أنا شخصياً لا أفعل ذلك

هذه القدرة على تشغيل Windows Shell هي من باب المجاملة لـ DDE. يمكنك التفكير في أشياء أخرى كثيرة
التطبيقات التي يمكنك الاتصال بها باستخدام وظائف DDE المضمنة في Excel.
هل تفكر في نفس الشيء الذي أفكر فيه؟

اسمح لأمرنا داخل الخلية ببدء جلسة PowerShell التي تقوم بعد ذلك بتنزيل الرابط وتنفيذه - هذا прием، والتي استخدمناها بالفعل من قبل. انظر أدناه:

ما عليك سوى لصق القليل من PowerShell لتحميل التعليمات البرمجية عن بعد وتشغيلها في Excel

ولكن هناك مشكلة: يجب عليك إدخال هذه البيانات بشكل صريح في الخلية حتى تعمل هذه الصيغة في Excel. كيف يمكن للمتسلل تنفيذ أمر DDE هذا عن بعد؟ الحقيقة هي أنه عندما يكون جدول Excel مفتوحًا، سيحاول Excel تحديث جميع الروابط في DDE. تتمتع إعدادات مركز التوثيق منذ فترة طويلة بالقدرة على تعطيل هذا أو التحذير عند تحديث الروابط إلى مصادر البيانات الخارجية.

حتى بدون أحدث التصحيحات، يمكنك تعطيل التحديث التلقائي للارتباط في DDE

مايكروسوفت في الأصل نفسها نصح يجب على الشركات في عام 2017 تعطيل تحديثات الارتباط التلقائية لمنع ثغرات DDE في Word وExcel. في يناير 2018، أصدرت Microsoft تصحيحات لإصدارات Excel 2007 و2010 و2013 تعمل على تعطيل DDE افتراضيًا. هذا مقالة يصف Computerworld كافة تفاصيل التصحيح.

حسنا، ماذا عن سجلات الأحداث؟

ومع ذلك، تخلت Microsoft عن DDE لـ MS Word وExcel، وبالتالي أدركت أخيرًا أن DDE يشبه خطأ أكثر من كونه وظيفة. إذا لم تقم بتثبيت هذه التصحيحات بعد لسبب ما، فلا يزال بإمكانك تقليل خطر هجوم DDE عن طريق تعطيل تحديثات الارتباط التلقائية وتمكين الإعدادات التي تطالب المستخدمين بتحديث الارتباطات عند فتح المستندات وجداول البيانات.

والآن سؤال المليون دولار: إذا كنت ضحية لهذا الهجوم، فهل ستظهر جلسات PowerShell التي يتم إطلاقها من حقول Word أو خلايا Excel في السجل؟

سؤال: هل يتم تسجيل جلسات PowerShell التي يتم تشغيلها عبر DDE؟ الجواب: نعم

عند تشغيل جلسات PowerShell مباشرة من خلية Excel بدلاً من تشغيلها كماكرو، سيقوم Windows بتسجيل هذه الأحداث (انظر أعلاه). وفي الوقت نفسه، لا أستطيع أن أدعي أنه سيكون من السهل على فريق الأمن ربط جميع النقاط بين جلسة PowerShell ومستند Excel ورسالة البريد الإلكتروني وفهم مكان بدء الهجوم. سأعود إلى هذا في المقالة الأخيرة في سلسلتي التي لا تنتهي حول البرامج الضارة المراوغة.

كيف هو كوم لدينا؟

فى السابق مقالة لقد تطرقت إلى موضوع البرامج النصية COM. أنها مريحة في حد ذاتها. عن طريق التكنولوجيا، والذي يسمح لك بتمرير التعليمات البرمجية، مثل JScript، ببساطة ككائن COM. ولكن بعد ذلك اكتشف المتسللون النصوص البرمجية، مما سمح لهم بالحصول على موطئ قدم على كمبيوتر الضحية دون استخدام أدوات غير ضرورية. هذا فيديو من Derbycon يوضح أدوات Windows المضمنة مثل regsrv32 وrundll32 التي تقبل البرامج النصية البعيدة كوسائط، ويقوم المتسللون بشكل أساسي بتنفيذ هجومهم دون مساعدة البرامج الضارة. كما أوضحت في المرة السابقة، يمكنك بسهولة تشغيل أوامر PowerShell باستخدام برنامج نصي JScript.

اتضح أن هذا الشخص ذكي جدًا الباحث العثور على طريقة لتشغيل البرنامج النصي COM в وثيقة اكسل. واكتشف أنه عندما حاول إدراج رابط لمستند أو صورة في إحدى الخلايا، تم إدراج حزمة معينة فيها. وتقبل هذه الحزمة بهدوء البرنامج النصي البعيد كمدخل (انظر أدناه).

فقاعة! طريقة أخرى خفية وصامتة لإطلاق الصدفة باستخدام البرامج النصية لـ COM

بعد فحص الكود على مستوى منخفض، اكتشف الباحث حقيقته بق في برنامج الحزمة. لم يكن المقصود منه تشغيل البرامج النصية لـ COM، ولكن فقط للارتباط بالملفات. لست متأكدًا مما إذا كان هناك بالفعل تصحيح لهذه الثغرة الأمنية. في دراستي الخاصة باستخدام Amazon WorkSpaces مع Office 2010 المثبت مسبقًا، تمكنت من تكرار النتائج. ومع ذلك، عندما حاولت مرة أخرى بعد قليل، لم ينجح الأمر.

آمل حقًا أن أكون قد أخبرتك بالكثير من الأشياء المثيرة للاهتمام وفي نفس الوقت أظهرت أن المتسللين يمكنهم اختراق شركتك بطريقة أو بأخرى بطريقة مماثلة. حتى إذا قمت بتثبيت جميع أحدث تصحيحات Microsoft، فلا يزال لدى المتسللين العديد من الأدوات للحصول على موطئ قدم في نظامك، بدءًا من وحدات ماكرو VBA التي بدأت بها هذه السلسلة وحتى الحمولات الضارة في Word أو Excel.

في المقالة الأخيرة (أعدك) في هذه الملحمة، سأتحدث عن كيفية توفير الحماية الذكية.

المصدر: www.habr.com