Bu məqalə Faylsız Zərərli Proqramlar seriyasının bir hissəsidir. Seriyanın bütün digər hissələri:
- Tutulmayan Zərərli Proqramın Macəraları, IV Hissə: DDE və Word Sənədi Sahələri (biz buradayıq)
Bu yazıda mən sistemə bərkidilmə ilə daha mürəkkəb çoxmərhələli faylsız hücum ssenarisinə girəcəkdim. Ancaq sonra inanılmaz dərəcədə sadə, kodsuz bir hücumla qarşılaşdım - heç bir Word və ya Excel makrosu tələb olunmur! Və bu, bu silsilə məqalələrin əsasında dayanan ilkin fərziyyəmi daha effektiv şəkildə sübut edir: hər hansı bir təşkilatın xarici perimetrini sındırmaq heç də çətin məsələ deyil.
Təsvir edəcəyim ilk hücum Microsoft Word-də əsaslanan zəiflikdən istifadə edir köhnəlmişdir (DDE). O, artıq idi . İkincisi, Microsoft COM və obyekt ötürmə imkanlarında daha ümumi zəiflikdən istifadə edir.
DDE ilə gələcəyə qayıdın
Başqa DDE xatırlayan varmı? Yəqin ki, çox deyil. İlklərdən biri idi proqramlara və cihazlara məlumat ötürməyə imkan verən proseslər arası rabitə protokolları.
Əvvəllər telekommunikasiya avadanlıqlarını yoxlayıb sınaqdan keçirtdiyim üçün onunla bir az tanışam. O zaman DDE, məsələn, zəng mərkəzi operatorlarına zəng edənin şəxsiyyətini CRM tətbiqinə köçürməyə icazə verdi və nəticədə müştəri kartı açıldı. Bunu etmək üçün telefonunuzla kompüteriniz arasında RS-232 kabelini qoşmalı idiniz. O gün idi!
Göründüyü kimi, Microsoft Word hələ də qalır DDE.
Bu hücumu kodsuz effektiv edən, DDE protokoluna daxil ola bilməyinizdir bilavasitə Word sənədindəki avtomatik sahələrdən (SensePost üçün papaqlar). bu barədə).
Sahə kodları sənədinizə dinamik mətn və bir qədər proqramlaşdırma əlavə etməyə imkan verən digər qədim MS Word funksiyasıdır. Ən bariz nümunə {PAGE *MERGEFORMAT} dəyərindən istifadə edərək altbilgiyə daxil edilə bilən səhifə nömrəsi sahəsidir. Bu, səhifə nömrələrini avtomatik olaraq yaratmağa imkan verir.
İpucu: Siz Daxil et altında Sahə menyu elementini tapa bilərsiniz.
Yadımdadır ki, Word-də bu xüsusiyyəti ilk dəfə kəşf edəndə heyrətləndim. Və yamaq onu söndürənə qədər Word hələ də DDE sahələri seçimini dəstəkləyirdi. İdeya ondan ibarət idi ki, DDE Word proqramı ilə birbaşa əlaqə saxlamağa imkan verəcək ki, o, proqramın çıxışını sənədə ötürə bilsin. Bu, o dövrdə çox gənc texnologiya idi - xarici proqramlarla məlumat mübadiləsinə dəstək. Daha sonra COM texnologiyasına çevrildi, biz də aşağıda baxacağıq.
Nəhayət, hakerlər başa düşdülər ki, bu DDE tətbiqi, əlbəttə ki, PowerShell-i işə salan əmr qabığı ola bilər və oradan da hakerlər istədikləri hər şeyi edə bilərlər.
Aşağıdakı ekran görüntüsü bu gizli texnikadan necə istifadə etdiyimi göstərir: DDE sahəsindən kiçik PowerShell skripti (bundan sonra PS) hücumun ikinci mərhələsini işə salan başqa bir PS skripti yükləyir.
Daxili DDEAUTO sahəsinin gizli şəkildə qabığı işə salmağa çalışdığı barədə pop-up xəbərdarlığına görə Windows-a təşəkkür edirik.
Zəiflikdən istifadə etmək üçün üstünlük verilən üsul skripti avtomatik işlədən DDEAUTO sahəsi ilə variantdan istifadə etməkdir. açıldıqdan sonra Word sənədi.
Gəlin bu barədə nə edə biləcəyimizi düşünək.
Təcrübəsiz bir haker olaraq, məsələn, Federal Vergi Xidmətindən olduğunuzu iddia edərək, fişinq e-poçtu göndərə və ilk mərhələ üçün DDEAUTO sahəsini PS skripti ilə yerləşdirə bilərsiniz (əsasən damcı). Və hətta mənim etdiyim kimi makroların real kodlaşdırılmasını və s. etmək lazım deyil
Qurban sənədinizi açır, daxil edilmiş skript aktivləşdirilir və haker kompüterin içərisinə girir. Mənim vəziyyətimdə uzaq PS skripti sadəcə bir mesaj çap edir, lakin o, uzaqdan qabıq girişini təmin edəcək PS Empire müştərisini asanlıqla işə sala bilər.
Qurbanın nəsə deməyə vaxtı çatmazdan əvvəl hakerlər kəndin ən zəngin yeniyetmələri olacaqlar.
Qabıq ən kiçik kodlaşdırma olmadan işə salındı. Bunu hətta bir uşaq da edə bilər!
DDE və sahələr
Microsoft daha sonra Word-də DDE-ni söndürdü, lakin şirkət bu xüsusiyyətin sadəcə olaraq sui-istifadə edildiyini bildirməmişdən əvvəl. Onların nəyisə dəyişmək istəməməsi başa düşüləndir. Təcrübəmdə mən özüm bir sənədi açarkən sahələrin yenilənməsinin aktiv edildiyi, lakin Word makrolarının İT tərəfindən deaktiv edildiyi bir nümunə gördüm (lakin bildiriş göstərərək). Yeri gəlmişkən, müvafiq parametrləri Word parametrləri bölməsində tapa bilərsiniz.
Bununla belə, sahənin yenilənməsi aktiv olsa belə, Microsoft Word, yuxarıda DDE ilə olduğu kimi, sahə silinmiş məlumatlara giriş tələb etdikdə istifadəçini əlavə olaraq xəbərdar edir. Microsoft həqiqətən sizi xəbərdar edir.
Lakin çox güman ki, istifadəçilər hələ də bu xəbərdarlığa məhəl qoymayacaq və Word-də sahələrin yenilənməsini aktivləşdirəcəklər. Bu təhlükəli DDE funksiyasını söndürdüyü üçün Microsoft-a təşəkkür etmək üçün nadir fürsətlərdən biridir.
Bu gün yamaqsız Windows sistemi tapmaq nə qədər çətindir?
Bu sınaq üçün virtual iş masasına daxil olmaq üçün AWS Workspaces-dən istifadə etdim. Beləliklə, DDEAUTO sahəsini daxil etməyə imkan verən yamaqsız MS Office virtual maşını əldə etdim. Şübhə etmirəm ki, oxşar şəkildə hələ lazımi təhlükəsizlik yamalarını quraşdırmamış digər şirkətləri tapa bilərsiniz.
Obyektlərin sirri
Bu yamağı quraşdırmısınızsa belə, MS Office-də hakerlərə Word ilə etdiyimizə çox oxşar bir şey etməyə imkan verən başqa təhlükəsizlik boşluqları var. Növbəti ssenaridə öyrənəcəyik Excel-dən heç bir kod yazmadan fişinq hücumu üçün yem kimi istifadə edin.
Bu ssenarini başa düşmək üçün Microsoft Komponent Obyekt Modelini və ya qısaca xatırlayaq COM (Komponent Obyekt Modeli).
COM 1990-cı illərdən bəri mövcuddur və RPC uzaq prosedur çağırışlarına əsaslanan "dil-neytral, obyekt yönümlü komponent modeli" kimi müəyyən edilir. COM terminologiyasını ümumi başa düşmək üçün oxuyun StackOverflow-da.
Əsasən, bir COM tətbiqini Excel və ya Word icra edilə bilən və ya işləyən digər ikili fayl kimi düşünə bilərsiniz.
Belə çıxır ki, COM tətbiqi də işləyə bilər ssenari — JavaScript və ya VBScript. Texniki olaraq buna deyilir skript. Siz Windows-da fayllar üçün .sct uzantısını görmüş ola bilərsiniz - bu, skriptlər üçün rəsmi genişləndirmədir. Əslində, onlar XML paketinə bükülmüş skript kodudur:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hakerlər və pentesterlər aşkar etdilər ki, Windows-da COM obyektlərini və müvafiq olaraq skriptləri də qəbul edən ayrıca utilitlər və proqramlar var.
Skripleti pubprn kimi tanınan VBS-də yazılmış Windows yardım proqramına ötürə bilərəm. O, C: Windowssystem32Printing_Admin_Scripts-in dərinliklərində yerləşir. Yeri gəlmişkən, obyektləri parametr kimi qəbul edən digər Windows utilitləri də var. Əvvəlcə bu nümunəyə baxaq.
Qabığın hətta çap skriptindən də işə salınması tamamilə təbiidir. Get Microsoft!
Test olaraq mən qabığı işə salan və “İndicə skript aldınız!” adlı gülməli mesajı çap edən sadə uzaqdan skript yaratdım. Əsasən, pubprn skript obyektini yaradır və VBScript koduna sarğı işlətməyə imkan verir. Bu üsul sisteminizə gizlicə girib gizlənmək istəyən hakerlər üçün açıq üstünlük təmin edir.
Növbəti yazıda COM skriptlərinin Excel cədvəllərindən istifadə edərək hakerlər tərəfindən necə istismar oluna biləcəyini izah edəcəyəm.
Ev tapşırığınız üçün bir göz atın hakerlərin skriptlərdən necə istifadə etdiyini dəqiq izah edən Derbycon 2016-dan. Həm də oxuyun skriptlər və bir növ ləqəb haqqında.
Mənbə: www.habr.com