Kini nga artikulo kabahin sa Fileless Malware nga serye. Ang ubang mga bahin sa serye:
- The Adventures of the Elusive Malware, Part IV: DDE ug Word Document Fields (ania kami)
Sa kini nga artikulo, moadto ako sa usa ka labi ka komplikado nga multi-stage fileless nga senaryo sa pag-atake nga adunay pag-pin sa sistema. Apan nasugatan nako ang usa ka talagsaon nga yano, walay code nga pag-atakeβwalay Pulong o Excel nga mga macro nga gikinahanglan! Ug kini nagpamatuod nga mas epektibo ang akong orihinal nga pangagpas nga nagpahipi sa kini nga serye sa mga artikulo: ang pagbungkag sa gawas nga perimeter sa bisan unsang organisasyon dili usa ka lisud nga buluhaton.
Ang una nga pag-atake nga akong ihulagway nagpahimulos sa usa ka kahuyang sa Microsoft Word nga gibase sa karaan na (DDE). Siya na . Ang ikaduha nagpahimulos sa usa ka mas kinatibuk-ang kahuyang sa Microsoft COM ug mga kapabilidad sa pagbalhin sa butang.
Balik sa umaabot uban ang DDE
Kinsa pa ang nakahinumdom sa DDE? Tingali dili daghan. Usa kini sa una inter-process nga mga protocol sa komunikasyon nga nagtugot sa mga aplikasyon ug mga himan sa pagbalhin sa datos.
Medyo pamilyar ko niini sa akong kaugalingon tungod kay ako nagsusi ug nagsulay sa mga kagamitan sa telecom. Nianang panahona, gitugotan sa DDE, pananglitan, ang mga operator sa call center nga ibalhin ang caller ID sa usa ka aplikasyon sa CRM, nga sa katapusan nagbukas sa usa ka kard sa kustomer. Aron mahimo kini, kinahanglan nimong ikonektar ang usa ka RS-232 cable tali sa imong telepono ug sa imong computer. Kato ang mga adlaw!
Ingon nga kini nahimo, ang Microsoft Word mao gihapon DDE.
Ang nakapahimo niini nga pag-atake nga epektibo nga walay code mao nga imong ma-access ang DDE protocol direkta gikan sa awtomatik nga mga natad sa usa ka dokumento sa Pulong (mga kalo sa SensePost alang sa mahitungod niini).
Mga kodigo sa uma mao ang laing karaan nga bahin sa MS Word nga nagtugot kanimo sa pagdugang sa dinamikong teksto ug gamay nga programming sa imong dokumento. Ang labing klaro nga pananglitan mao ang field number sa panid, nga mahimong isulod sa footer gamit ang value {PAGE *MERGEFORMAT}. Gitugotan niini ang mga numero sa panid nga awtomatiko nga mamugna.
Sugyot: Makita nimo ang Field menu item ubos sa Insert.
Nahinumdom ko nga sa una nakong nadiskobrehan kini nga bahin sa Pulong, nahingangha ako. Ug hangtod nga gi-disable kini sa patch, gisuportahan gihapon sa Pulong ang opsyon sa DDE fields. Ang ideya mao nga ang DDE motugot sa Pulong nga direktang makigkomunikar sa aplikasyon, aron kini makapasa sa output sa programa ngadto sa usa ka dokumento. Batan-on pa kaayo ang teknolohiya niadtong panahona - suporta alang sa pagbayloay sa datos sa mga eksternal nga aplikasyon. Kini sa ulahi nahimo nga teknolohiya sa COM, nga atong tan-awon usab sa ubos.
Sa kadugayan, ang mga hacker nakaamgo nga kini nga DDE nga aplikasyon mahimo nga usa ka command shell, nga siyempre naglunsad sa PowerShell, ug gikan didto ang mga hacker makahimo sa bisan unsa nga ilang gusto.
Ang screenshot sa ubos nagpakita kon giunsa nako paggamit kining stealth technique: usa ka gamay nga PowerShell script (gitawag dinhi nga PS) gikan sa DDE field nagkarga ug laing PS script, nga naglunsad sa ikaduhang hugna sa pag-atake.
Salamat sa Windows alang sa pop-up nga pasidaan nga ang built-in nga DDEAUTO field sekretong naningkamot sa pagsugod sa shell
Ang gipalabi nga pamaagi sa pagpahimulos sa pagkahuyang mao ang paggamit sa usa ka variant sa DDEAUTO field, nga awtomatikong nagpadagan sa script sa pagbukas Pulong nga dokumento.
Atong hunahunaon kon unsay atong mahimo bahin niini.
Ingon usa ka bag-ong hacker, mahimo nimo, pananglitan, magpadala usa ka email sa phishing, nga magpakaaron-ingnon nga gikan ka sa Federal Tax Service, ug i-embed ang field sa DDEAUTO nga adunay PS script alang sa unang yugto (usa ka dropper, sa tinuud). Ug dili nimo kinahanglan nga buhaton ang bisan unsang tinuud nga coding sa mga macro, ug uban pa, sama sa akong gibuhat
Giablihan sa biktima ang imong dokumento, gi-activate ang naka-embed nga script, ug ang hacker natapos sa sulod sa computer. Sa akong kaso, ang hilit nga PS script nag-imprinta lang og usa ka mensahe, apan kini dali ra nga maglansad sa PS Empire nga kliyente, nga maghatag og remote shell access.
Ug sa wala pa ang biktima adunay panahon sa pagsulti bisan unsa, ang mga hacker mahimong labing adunahan nga mga tin-edyer sa baryo.
Ang kabhang gilunsad nga walay bisan gamay nga coding. Bisan ang bata makahimo niini!
DDE ug mga uma
Sa ulahi gi-disable sa Microsoft ang DDE sa Pulong, apan dili sa wala pa ang kompanya nag-ingon nga ang bahin giabusohan ra. Ang ilang pagpanuko sa pag-usab sa bisan unsang butang masabtan. Sa akong kasinatian, ako mismo nakakita og usa ka pananglitan diin ang pag-update sa mga natad sa dihang ang pag-abli sa usa ka dokumento gipalihok, apan ang Word macros gibabagan sa IT (apan nagpakita sa usa ka pahibalo). Pinaagi sa dalan, makit-an nimo ang katugbang nga mga setting sa seksyon sa mga setting sa Pulong.
Bisan pa, bisan kung gipagana ang pag-update sa field, ang Microsoft Word dugang nga nagpahibalo sa user kung ang usa ka field nangayo og access sa natangtang nga datos, sama sa kaso sa DDE sa ibabaw. Gipasidan-an ka gyud sa Microsoft.
Apan lagmit, ang mga tiggamit dili gihapon magtagad niini nga pasidaan ug ma-aktibo ang pag-update sa mga uma sa Pulong. Usa kini sa talagsaon nga mga oportunidad sa pagpasalamat sa Microsoft tungod sa pag-disable sa delikado nga bahin sa DDE.
Unsa ka lisud ang pagpangita sa usa ka unpatched Windows system karon?
Alang sa kini nga pagsulay, gigamit nako ang AWS Workspaces aron ma-access ang usa ka virtual desktop. Niining paagiha nakakuha ako usa ka wala ma-patch nga MS Office virtual machine nga nagtugot kanako sa pagsal-ot sa DDEAUTO field. Wala akoy pagduha-duha nga sa parehas nga paagi makit-an nimo ang ubang mga kompanya nga wala pa naka-install sa kinahanglan nga mga patch sa seguridad.
Misteryo sa mga butang
Bisan kung imong gi-install kini nga patch, adunay uban pang mga lungag sa seguridad sa MS Office nga nagtugot sa mga hacker nga makahimo usa ka butang nga parehas sa among gibuhat sa Pulong. Sa sunod nga senaryo atong makat-unan gamita ang Excel isip paon alang sa pag-atake sa phishing nga walay pagsulat sa bisan unsang code.
Aron masabtan kini nga senaryo, atong hinumduman ang Microsoft Component Object Model, o sa mubo COM (Modelo sa Component Object).
Ang COM anaa na sukad sa 1990s, ug gihubit isip usa ka "neutral nga object-oriented component model" base sa RPC remote procedure calls. Alang sa kinatibuk-ang pagsabot sa terminolohiya sa COM, basaha sa StackOverflow.
Sa panguna, mahimo nimong hunahunaon ang usa ka aplikasyon sa COM ingon usa ka Excel o Word executable, o uban pang binary file nga nagdagan.
Kini nahimo nga ang usa ka aplikasyon sa COM mahimo usab nga modagan senaryo - JavaScript o VBScript. Sa teknikal nga paagi kini gitawag scriptlet. Tingali nakita nimo ang .sct extension para sa mga file sa Windows - kini ang opisyal nga extension para sa mga scriptlet. Sa tinuud, sila mga script code nga giputos sa usa ka XML wrapper:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Nadiskobrehan sa mga hacker ug mga pentester nga adunay bulag nga mga utilities ug aplikasyon sa Windows nga modawat sa mga butang sa COM ug, sumala niana, mga scriptlet usab.
Mapasa nako ang usa ka scriptlet sa usa ka Windows utility nga gisulat sa VBS nga nailhan nga pubprn. Kini nahimutang sa kinahiladman sa C:Windowssystem32Printing_Admin_Scripts. Pinaagi sa dalan, adunay uban nga mga Windows utilities nga modawat sa mga butang ingon nga mga parameter. Atong tan-awon una kini nga pananglitan.
Natural lang nga ang kabhang mahimong ilunsad bisan gikan sa usa ka print script. Adto sa Microsoft!
Isip usa ka pagsulay, naghimo ko og usa ka yano nga hilit nga scriptlet nga naglunsad og usa ka kabhang ug nag-imprinta og usa ka kataw-anan nga mensahe, "Bag-o ka nga na-script!" Sa tinuud, ang pubprn nag-instantiate sa usa ka scriptlet nga butang, nga gitugotan ang VBScript code nga magpadagan sa usa ka wrapper. Kini nga pamaagi naghatag ug tin-aw nga bentaha sa mga hacker nga gustong molusot ug motago sa imong sistema.
Sa sunod nga post, akong ipatin-aw kon sa unsang paagi ang COM scriptlets mahimong mapahimuslan sa mga hacker gamit ang Excel spreadsheet.
Alang sa imong homework, tan-awa gikan sa Derbycon 2016, nga nagpatin-aw sa eksakto kung giunsa paggamit sa mga hacker ang mga scriptlet. Ug basaha usab mahitungod sa mga scriptlet ug usa ka matang sa moniker.
Source: www.habr.com