Mae'r erthygl hon yn rhan o'r gyfres Fileless Malware. Pob rhan arall o'r gyfres:
- Anturiaethau'r Drwgwedd Anelus, Rhan IV: DDE a Meysydd Dogfen Word (rydym yma)
Yn yr erthygl hon, roeddwn i'n mynd i blymio i mewn i senario ymosodiad di-ffeil aml-gam hyd yn oed yn fwy cymhleth gyda phinio ar y system. Ond yna des i ar draws ymosodiad anhygoel o syml, heb god - dim angen macros Word nac Excel! Ac mae hyn yn profi'n llawer mwy effeithiol fy rhagdybiaeth wreiddiol sy'n sail i'r gyfres hon o erthyglau: nid yw torri perimedr allanol unrhyw sefydliad yn dasg anodd o gwbl.
Mae'r ymosodiad cyntaf y byddaf yn ei ddisgrifio yn manteisio ar fregusrwydd Microsoft Word sy'n seiliedig arno hen ffasiwn (DDE). Roedd hi eisoes . Mae'r ail yn manteisio ar fregusrwydd mwy cyffredinol yn Microsoft COM a galluoedd trosglwyddo gwrthrychau.
Yn Γ΄l i'r dyfodol gyda DDE
Unrhyw un arall yn cofio DDE? Mae'n debyg nad llawer. Yr oedd yn un o'r rhai cyntaf protocolau cyfathrebu rhyng-broses a oedd yn caniatΓ‘u i gymwysiadau a dyfeisiau drosglwyddo data.
Rydw i ychydig yn gyfarwydd ag ef fy hun oherwydd roeddwn i'n arfer gwirio a phrofi offer telathrebu. Bryd hynny, roedd DDE yn caniatΓ‘u, er enghraifft, i weithredwyr canolfan alwadau drosglwyddo ID galwr i raglen CRM, a agorodd gerdyn cwsmer yn y pen draw. I wneud hyn, roedd yn rhaid i chi gysylltu cebl RS-232 rhwng eich ffΓ΄n a'ch cyfrifiadur. Dyna oedd y dyddiau!
Fel mae'n digwydd, mae Microsoft Word yn dal i fod DDE.
Yr hyn sy'n gwneud yr ymosodiad hwn yn effeithiol heb god yw y gallwch chi gael mynediad i'r protocol DDE uniongyrchol o feysydd awtomatig mewn dogfen Word (hetiau i ffwrdd i SensePost ar gyfer amdano fe).
Codau maes yn nodwedd MS Word hynafol arall sy'n eich galluogi i ychwanegu testun deinamig ac ychydig o raglennu i'ch dogfen. Yr enghraifft fwyaf amlwg yw maes rhif y dudalen, y gellir ei fewnosod yn y troedyn gan ddefnyddio'r gwerth {PAGE *MERGEFORMAT}. Mae hyn yn caniatΓ‘u i rifau tudalennau gael eu cynhyrchu'n awtomatig.
Awgrym: Gallwch ddod o hyd i'r eitem dewislen Maes o dan Mewnosod.
Rwy'n cofio pan ddarganfyddais y nodwedd hon gyntaf yn Word, cefais fy syfrdanu. A nes i'r clwt ei analluogi, roedd Word yn dal i gefnogi'r opsiwn meysydd DDE. Y syniad oedd y byddai DDE yn caniatΓ‘u i Word gyfathrebu'n uniongyrchol Γ’'r rhaglen, fel y gallai wedyn drosglwyddo allbwn y rhaglen i ddogfen. Roedd yn dechnoleg ifanc iawn bryd hynny - cefnogaeth ar gyfer cyfnewid data gyda chymwysiadau allanol. Fe'i datblygwyd yn ddiweddarach yn dechnoleg COM, y byddwn hefyd yn edrych arno isod.
Yn y pen draw, sylweddolodd yr hacwyr y gallai'r cais DDE hwn fod yn gragen orchymyn, a lansiodd PowerShell wrth gwrs, ac oddi yno gallai'r hacwyr wneud beth bynnag yr oeddent ei eisiau.
Mae'r sgrin isod yn dangos sut y defnyddiais y dechneg llechwraidd hon: mae sgript PowerShell fach (y cyfeirir ati o hyn ymlaen fel PS) o faes DDE yn llwytho sgript PS arall, sy'n lansio ail gam yr ymosodiad.
Diolch i Windows am y rhybudd pop-up bod y maes DDEAUTO adeiledig yn gyfrinachol yn ceisio cychwyn y gragen
Y dull dewisol o fanteisio ar y bregusrwydd yw defnyddio amrywiad gyda'r maes DDEAUTO, sy'n rhedeg y sgript yn awtomatig wrth agor Dogfen Word.
Gadewch i ni feddwl am yr hyn y gallwn ei wneud am hyn.
Fel haciwr newydd, gallwch, er enghraifft, anfon e-bost gwe-rwydo, gan esgus eich bod yn dod o'r Gwasanaeth Treth Ffederal, ac ymgorffori maes DDEAUTO gyda'r sgript PS ar gyfer y cam cyntaf (dropper, yn y bΓ΄n). Ac nid oes angen i chi hyd yn oed wneud unrhyw godio macros go iawn, ac ati, fel y gwnes i yn
Mae'r dioddefwr yn agor eich dogfen, mae'r sgript fewnosod yn cael ei actifadu, ac mae'r haciwr yn dod i ben y tu mewn i'r cyfrifiadur. Yn fy achos i, mae'r sgript PS anghysbell yn argraffu neges yn unig, ond gallai yr un mor hawdd lansio'r cleient PS Empire, a fydd yn darparu mynediad cragen o bell.
A chyn i'r dioddefwr gael amser i ddweud unrhyw beth, bydd yr hacwyr yn troi allan i fod y rhai yn eu harddegau cyfoethocaf yn y pentref.
Lansiwyd y gragen heb y mymryn lleiaf o godio. Gall hyd yn oed plentyn ei wneud!
DDE a chaeau
Yn ddiweddarach analluogodd Microsoft DDE yn Word, ond nid cyn i'r cwmni ddatgan bod y nodwedd yn syml wedi'i chamddefnyddio. Mae eu hamharodrwydd i newid unrhyw beth yn ddealladwy. Yn fy mhrofiad i, rwyf i fy hun wedi gweld enghraifft lle roedd diweddaru meysydd wrth agor dogfen wedi'i alluogi, ond cafodd macros Word eu hanalluogi gan TG (ond yn dangos hysbysiad). Gyda llaw, gallwch ddod o hyd i'r gosodiadau cyfatebol yn yr adran gosodiadau Word.
Fodd bynnag, hyd yn oed os yw diweddaru maes wedi'i alluogi, mae Microsoft Word hefyd yn hysbysu'r defnyddiwr pan fydd maes yn gofyn am fynediad at ddata wedi'i ddileu, fel sy'n wir gyda DDE uchod. Mae Microsoft wir yn eich rhybuddio.
Ond yn fwyaf tebygol, bydd defnyddwyr yn dal i anwybyddu'r rhybudd hwn ac actifadu'r diweddariad meysydd yn Word. Dyma un o'r cyfleoedd prin i ddiolch i Microsoft am analluogi'r nodwedd beryglus DDE.
Pa mor anodd yw hi i ddod o hyd i system Windows heb ei glymu heddiw?
Ar gyfer y profion hyn, defnyddiais AWS Workspaces i gael mynediad at fwrdd gwaith rhithwir. Fel hyn cefais beiriant rhithwir MS Office heb ei glymu a oedd yn caniatΓ‘u i mi fewnosod maes DDEAUTO. Nid oes gennyf unrhyw amheuaeth, mewn ffordd debyg, y gallwch ddod o hyd i gwmnΓ―au eraill nad ydynt eto wedi gosod y clytiau diogelwch angenrheidiol.
Dirgelwch gwrthrychau
Hyd yn oed os gwnaethoch osod y clwt hwn, mae tyllau diogelwch eraill yn MS Office sy'n caniatΓ‘u i hacwyr wneud rhywbeth tebyg iawn i'r hyn a wnaethom gyda Word. Yn y senario nesaf byddwn yn dysgu defnyddio Excel fel abwyd ar gyfer ymosodiad gwe-rwydo heb ysgrifennu unrhyw god.
I ddeall y senario hwn, gadewch i ni gofio Model Gwrthrych Cydran Microsoft, neu yn fyr COM (Model Gwrthrych Cydran).
Mae COM wedi bod o gwmpas ers y 1990au, ac fe'i diffinnir fel "model cydran niwtral o ran iaith, sy'n canolbwyntio ar wrthrych" yn seiliedig ar alwadau gweithdrefn bell RPC. I gael dealltwriaeth gyffredinol o derminoleg COM, darllenwch ar StackOverflow.
Yn y bΓ΄n, gallwch chi feddwl am raglen COM fel gweithredadwy Excel neu Word, neu ffeil ddeuaidd arall sy'n rhedeg.
Mae'n ymddangos y gall cais COM redeg hefyd senario β JavaScript neu VBScript. Yn dechnegol fe'i gelwir sgriptlen. Efallai eich bod wedi gweld yr estyniad .sct ar gyfer ffeiliau yn Windows - dyma'r estyniad swyddogol ar gyfer sgriptlets. Yn y bΓ΄n, cod sgript ydyn nhw wedi'u lapio mewn papur lapio XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Mae hacwyr a phentestwyr wedi darganfod bod yna gyfleustodau a chymwysiadau ar wahΓ’n yn Windows sy'n derbyn gwrthrychau COM ac, yn unol Γ’ hynny, sgriptlets hefyd.
Gallaf drosglwyddo sgript i gyfleustodau Windows a ysgrifennwyd yn VBS a elwir yn pubprn. Mae wedi'i leoli yn nyfnderoedd C: Windowssystem32Printing_Admin_Scripts. Gyda llaw, mae yna gyfleustodau Windows eraill sy'n derbyn gwrthrychau fel paramedrau. Gadewch i ni edrych ar yr enghraifft hon yn gyntaf.
Mae'n hollol naturiol y gellir lansio'r gragen hyd yn oed o sgript print. Ewch Microsoft!
Fel prawf, creais sgriptlet syml o bell sy'n lansio cragen ac yn argraffu neges ddoniol, βRydych chi newydd gael eich sgriptio!β Yn y bΓ΄n, mae pubprn yn rhoi gwrthrych scriptlet ar unwaith, gan ganiatΓ‘u i god VBScript redeg papur lapio. Mae'r dull hwn yn rhoi mantais glir i hacwyr sydd am sleifio i mewn a chuddio ar eich system.
Yn y swydd nesaf, byddaf yn esbonio sut y gall hacwyr fanteisio ar sgriptlets COM gan ddefnyddio taenlenni Excel.
Ar gyfer eich gwaith cartref, cymerwch olwg o Derbycon 2016, sy'n esbonio'n union sut y defnyddiodd hacwyr sgriptlenni. A darllen hefyd am scriptlets a rhyw fath o moniker.
Ffynhonnell: hab.com