Kini nga artikulo kabahin sa Fileless Malware nga serye. Ang ubang mga bahin sa serye:
- (anaa mi)
Niini nga serye sa mga artikulo, among gisusi ang mga pamaagi sa pag-atake nga nagkinahanglan og gamay nga paningkamot sa bahin sa mga hacker. Kaniadto Among gitabonan nga posible nga isulod ang code mismo sa DDE autofield payload sa Microsoft Word. Pinaagi sa pag-abli sa ingon nga dokumento nga gilakip sa usa ka email sa phishing, ang usa ka dili mabinantayon nga tiggamit magtugot sa tig-atake nga makakuha usa ka sukaranan sa iyang kompyuter. Bisan pa, sa katapusan sa 2017, ang Microsoft kini nga lungag alang sa mga pag-atake sa DDE.
Ang pag-ayo nagdugang usa ka entry sa rehistro nga nagpugong Mga gimbuhaton sa DDE sa Pulong. Kung kinahanglan pa nimo kini nga gamit, mahimo nimong ibalik kini nga kapilian pinaagi sa pagpagana sa daan nga kapabilidad sa DDE.
Bisan pa, ang orihinal nga patch naglangkob lamang sa Microsoft Word. Naa ba kini nga mga kahuyangan sa DDE sa ubang mga produkto sa Microsoft Office nga mahimo usab nga mapahimuslan sa mga pag-atake nga walaβy code? Oo, sigurado. Pananglitan, mahimo usab nimo kini makit-an sa Excel.
Gabii sa Buhi DDE
Nahinumdom ko nga sa miaging higayon mihunong ako sa paghulagway sa mga scriptlet sa COM. Mosaad ko nga maabot ko sila sa ulahi niining artikuloha.
Sa kasamtangan, atong tan-awon ang laing daotan nga bahin sa DDE sa Excel nga bersyon. Sama sa Pulong, ang uban tinago nga mga bahin sa DDE sa Excel nagtugot kanimo sa pagpatuman sa code nga walay daghang paningkamot. Ingon usa ka tiggamit sa Pulong nga nagdako, pamilyar ako sa mga uma, apan dili sa tanan bahin sa mga gimbuhaton sa DDE.
Nahingangha ko sa pagkahibalo nga sa Excel makatawag ko og shell gikan sa cell sama sa gipakita sa ubos:
Nahibal-an ba nimo nga posible kini? Sa personal, dili ko
Kini nga abilidad sa paglansad sa usa ka Windows shell sa maayong kabubut-on sa DDE. Makahunahuna ka ug daghang uban pang mga butang
Mga aplikasyon nga mahimo nimong ikonektar gamit ang built-in nga DDE function sa Excel.
Gihunahuna ba nimo ang parehas nga butang nga akong gihunahuna?
Tugoti ang among in-cell command nga magsugod sa usa ka sesyon sa PowerShell nga mag-download ug mag-execute sa link - kini , nga gigamit na namo kaniadto. Tan-awa sa ubos:
I-paste lang ang gamay nga PowerShell aron ma-load ug mapadagan ang remote code sa Excel
Apan adunay usa ka catch: kinahanglan nimo nga tin-aw nga isulod kini nga datos sa cell aron kini nga pormula molihok sa Excel. Sa unsang paagi ang usa ka hacker makapatuman niini nga DDE nga sugo sa layo? Ang tinuod mao nga kung bukas ang usa ka lamesa sa Excel, sulayan sa Excel nga i-update ang tanan nga mga link sa DDE. Ang mga setting sa Trust Center dugay na nga adunay katakus sa pag-disable niini o pagpasidaan kung mag-update sa mga link sa gawas nga mga gigikanan sa datos.
Bisan kung wala ang pinakabag-o nga mga patch, mahimo nimong i-disable ang awtomatikong pag-update sa link sa DDE
Ang Microsoft sa orihinal mismo Ang mga kompanya sa 2017 kinahanglan nga mag-disable sa awtomatikong pag-update sa link aron mapugngan ang mga kahuyangan sa DDE sa Word ug Excel. Niadtong Enero 2018, gipagawas sa Microsoft ang mga patch alang sa Excel 2007, 2010 ug 2013 nga nagpugong sa DDE sa default. Kini Gihubit sa Computerworld ang tanan nga mga detalye sa patch.
Aw, komosta ang mga log sa panghitabo?
Bisan pa, gibiyaan sa Microsoft ang DDE para sa MS Word ug Excel, sa ingon sa katapusan nahibal-an nga ang DDE sama sa usa ka bug kaysa gamit. Kung sa pila ka rason wala pa nimo ma-install kini nga mga patch, mahimo nimo nga pakunhuran ang peligro sa usa ka pag-atake sa DDE pinaagi sa pag-disable sa awtomatikong pag-update sa link ug pagpagana sa mga setting nga mag-aghat sa mga tiggamit sa pag-update sa mga link kung magbukas sa mga dokumento ug mga spreadsheet.
Karon ang milyon-milyong dolyar nga pangutana: Kung biktima ka sa kini nga pag-atake, ang mga sesyon sa PowerShell nga gilansad gikan sa mga field sa Word o mga cell sa Excel makita sa log?
Pangutana: Gilunsad ba ang mga sesyon sa PowerShell pinaagi sa DDE nga naka-log? Tubag: oo
Kung imong gipadagan ang mga sesyon sa PowerShell direkta gikan sa usa ka Excel cell kaysa usa ka macro, ang Windows mag-log niini nga mga panghitabo (tan-awa sa ibabaw). Sa samang higayon, dili nako maangkon nga sayon ββββalang sa security team nga makonektar ang tanang tuldok tali sa sesyon sa PowerShell, dokumento sa Excel ug mensahe sa email ug masabtan kung diin nagsugod ang pag-atake. Mobalik ko niini sa kataposang artikulo sa akong walay kataposang serye sa idlas nga malware.
Kumusta atong COM?
Sa miaging Akong gihikap ang hilisgutan sa COM scriptlets. Kombenyente sila sa ilang kaugalingon. , nga nagtugot kanimo sa pagpasa sa code, ingna ang JScript, isip usa ka butang nga COM. Apan unya ang mga scriptlet nadiskobrehan sa mga hacker, ug kini nagtugot kanila sa pag-angkon sa usa ka foothold sa computer sa biktima nga walay paggamit sa wala kinahanglana nga mga himan. Kini gikan sa Derbycon nagpakita sa built-in nga mga himan sa Windows sama sa regsrv32 ug rundll32 nga midawat sa hilit nga mga scriptlet isip argumento, ug ang mga hacker sa esensya nagpahigayon sa ilang pag-atake nga walay tabang sa malware. Sama sa akong gipakita sa miaging higayon, dali ka makadagan sa mga mando sa PowerShell gamit ang JScript scriptlet.
Kini nahimo nga usa ka maalamon kaayo nakakaplag ug paagi sa pagpadagan sa COM scriptlet Π² Excel nga dokumento. Iyang nadiskobrehan nga sa dihang misulay siya sa pagsal-ot og link sa usa ka dokumento o hulagway ngadto sa usa ka cell, usa ka pakete ang gisulod niini. Ug kini nga pakete hilom nga nagdawat sa usa ka hilit nga scriptlet ingon input (tan-awa sa ubos).
Boom! Laing tago, hilom nga paagi sa paglansad og kabhang gamit ang COM scriptlets
Pagkahuman sa usa ka ubos nga lebel nga pag-inspeksyon sa code, nahibal-an sa tigdukiduki kung unsa gyud kini bug sa package software. Wala kini gituyo nga magpadagan sa mga scriptlet sa COM, apan aron masumpay lamang sa mga file. Dili ko sigurado kung naa na bay patch alang niini nga pagkahuyang. Sa akong kaugalingon nga pagtuon gamit ang Amazon WorkSpaces nga adunay Office 2010 nga preinstalled, nakahimo ko sa pagkopya sa mga resulta. Apan, sa diha nga ako misulay pag-usab sa usa ka gamay nga ulahi, kini wala molihok.
Naglaum gyud ko nga gisultihan ko ikaw daghang makapaikag nga mga butang ug sa parehas nga oras nagpakita nga ang mga hacker makasulod sa imong kompanya sa usa o lain nga parehas nga paagi. Bisan kung imong gi-install ang tanan nga labing bag-o nga mga patch sa Microsoft, ang mga hacker adunay daghang mga himan aron makakuha usa ka tunob sa imong sistema, gikan sa VBA macros nga akong gisugdan kini nga serye hangtod sa malisyosong mga payload sa Word o Excel.
Sa katapusan (ako nagsaad) nga artikulo sa kini nga saga, akong hisgutan kung giunsa ang paghatag intelihenteng proteksyon.
Source: www.habr.com