Mae'r erthygl hon yn rhan o'r gyfres Fileless Malware. Pob rhan arall o'r gyfres:
- (rydym yma)
Yn y gyfres hon o erthyglau, rydym yn archwilio dulliau ymosod sy'n gofyn am ychydig iawn o ymdrech ar ran hacwyr. Yn y gorffennol Rydyn ni wedi nodi ei bod hi'n bosibl mewnosod y cod ei hun i lwyth tâl maes auto DDE yn Microsoft Word. Trwy agor dogfen o'r fath sydd ynghlwm wrth e-bost gwe-rwydo, bydd defnyddiwr anwyliadwrus yn caniatáu i'r ymosodwr gael troedle ar ei gyfrifiadur. Fodd bynnag, ar ddiwedd 2017, Microsoft y bwlch hwn ar gyfer ymosodiadau ar DDE.
Mae'r atgyweiriad yn ychwanegu cofnod cofrestrfa sy'n analluogi Swyddogaethau DDE yn Word. Os oes angen y swyddogaeth hon arnoch o hyd, yna gallwch ddychwelyd yr opsiwn hwn trwy alluogi'r hen alluoedd DDE.
Fodd bynnag, dim ond Microsoft Word oedd yn y darn gwreiddiol. A yw'r gwendidau DDE hyn yn bodoli mewn cynhyrchion Microsoft Office eraill y gellid eu hecsbloetio hefyd mewn ymosodiadau dim cod? Iawn siwr. Er enghraifft, gallwch hefyd ddod o hyd iddynt yn Excel.
Noson y DDE Byw
Rwy'n cofio y tro diwethaf i mi stopio ar y disgrifiad o sgriptlets COM. Rwy'n addo y byddaf yn eu cyrraedd yn ddiweddarach yn yr erthygl hon.
Yn y cyfamser, gadewch i ni edrych ar ochr ddrwg arall o DDE yn y fersiwn Excel. Yn union fel yn Word, rhai nodweddion cudd DDE yn Excel caniatáu ichi weithredu cod heb lawer o ymdrech. Fel defnyddiwr Word a dyfodd i fyny, roeddwn yn gyfarwydd â'r meysydd, ond ddim o gwbl am y swyddogaethau yn DDE.
Cefais fy syfrdanu o glywed y gallaf yn Excel alw cragen o gell fel y dangosir isod:
Oeddech chi'n gwybod bod hyn yn bosibl? Yn bersonol, dydw i ddim
Mae'r gallu hwn i lansio cragen Windows trwy garedigrwydd DDE. Gallwch chi feddwl am lawer o bethau eraill
Cymwysiadau y gallwch gysylltu â nhw gan ddefnyddio swyddogaethau DDE adeiledig Excel.
Ydych chi'n meddwl yr un peth rwy'n meddwl?
Gadewch i'n gorchymyn yn y gell ddechrau sesiwn PowerShell sydd wedyn yn lawrlwytho ac yn gweithredu'r ddolen - hyn , yr ydym eisoes wedi'i ddefnyddio o'r blaen. Gweler isod:
Dim ond gludwch ychydig o PowerShell i lwytho a rhedeg cod anghysbell yn Excel
Ond mae dal: rhaid i chi fewnbynnu'r data hwn yn benodol i'r gell er mwyn i'r fformiwla hon weithio yn Excel. Sut gall haciwr weithredu'r gorchymyn DDE hwn o bell? Y ffaith yw, pan fydd tabl Excel ar agor, bydd Excel yn ceisio diweddaru'r holl ddolenni yn DDE. Mae gosodiadau Trust Center wedi bod â'r gallu ers tro i analluogi hyn neu rybuddio wrth ddiweddaru dolenni i ffynonellau data allanol.
Hyd yn oed heb y clytiau diweddaraf, gallwch analluogi diweddaru cyswllt awtomatig yn DDE
Microsoft ei hun yn wreiddiol Dylai cwmnïau yn 2017 analluogi diweddariadau cyswllt awtomatig i atal gwendidau DDE yn Word ac Excel. Ym mis Ionawr 2018, rhyddhaodd Microsoft glytiau ar gyfer Excel 2007, 2010 a 2013 sy'n analluogi DDE yn ddiofyn. hwn Mae Computerworld yn disgrifio holl fanylion y clwt.
Wel, beth am logiau digwyddiadau?
O'r diwedd rhoddodd Microsoft y gorau i DDE ar gyfer MS Word ac Excel, a thrwy hynny o'r diwedd yn cydnabod bod DDE yn debycach i nam nag ymarferoldeb. Os nad ydych wedi gosod y clytiau hyn am ryw reswm eto, gallwch barhau i leihau'r risg o ymosodiad DDE trwy analluogi diweddariadau cyswllt awtomatig a galluogi gosodiadau sy'n annog defnyddwyr i ddiweddaru dolenni wrth agor dogfennau a thaenlenni.
Nawr y cwestiwn miliwn doler: Os ydych chi'n ddioddefwr yr ymosodiad hwn, a fydd sesiynau PowerShell a lansiwyd o feysydd Word neu gelloedd Excel yn ymddangos yn y log?
Cwestiwn: A yw sesiynau PowerShell a lansiwyd trwy DDE wedi'u logio? Ateb: ydw
Pan fyddwch chi'n rhedeg sesiynau PowerShell yn uniongyrchol o gell Excel yn hytrach nag fel macro, bydd Windows yn cofnodi'r digwyddiadau hyn (gweler uchod). Ar yr un pryd, ni allaf honni y bydd yn hawdd i'r tîm diogelwch wedyn gysylltu'r holl ddotiau rhwng y sesiwn PowerShell, y ddogfen Excel a'r neges e-bost a deall lle dechreuodd yr ymosodiad. Dof yn ôl at hyn yn yr erthygl olaf yn fy nghyfres ddiddiwedd ar y drwgwedd swil.
Sut mae ein COM?
Yn y blaenorol Cyffyrddais ar bwnc sgriptiau COM. Maent yn gyfleus ynddynt eu hunain. , sy'n eich galluogi i basio cod, dywedwch JScript, yn syml fel gwrthrych COM. Ond yna darganfuwyd y sgriptiau gan hacwyr, ac roedd hyn yn caniatáu iddynt ennill troedle ar gyfrifiadur y dioddefwr heb ddefnyddio offer diangen. hwn o Derbycon yn arddangos offer Windows adeiledig fel regsrv32 a rundll32 sy'n derbyn sgriptiau anghysbell fel dadleuon, ac yn y bôn mae hacwyr yn cynnal eu hymosodiad heb gymorth malware. Fel y dangosais y tro diwethaf, gallwch chi redeg gorchmynion PowerShell yn hawdd gan ddefnyddio sgript JScript.
Mae'n troi allan bod un yn smart iawn dod o hyd i ffordd i redeg sgript COM в dogfen Excel. Darganfu, pan geisiodd fewnosod dolen i ddogfen neu lun mewn cell, fod pecyn penodol wedi'i fewnosod ynddo. Ac mae'r pecyn hwn yn derbyn sgript bell yn dawel fel mewnbwn (gweler isod).
Boom! Dull llechwraidd, tawel arall i lansio cragen gan ddefnyddio sgriptlets COM
Ar ôl archwiliad cod lefel isel, darganfu'r ymchwilydd beth ydyw mewn gwirionedd byg yn y meddalwedd pecyn. Nid oedd yn fwriad rhedeg sgriptiau COM, ond dim ond i gysylltu â ffeiliau. Dydw i ddim yn siŵr a oes clwt ar gyfer y bregusrwydd hwn yn barod. Yn fy astudiaeth fy hun gan ddefnyddio Amazon WorkSpaces gydag Office 2010 wedi'i osod ymlaen llaw, llwyddais i ailadrodd y canlyniadau. Fodd bynnag, pan geisiais eto ychydig yn ddiweddarach, ni weithiodd.
Rwy'n mawr obeithio fy mod wedi dweud llawer o bethau diddorol wrthych ac ar yr un pryd wedi dangos y gall hacwyr dreiddio i'ch cwmni mewn un ffordd debyg neu'i gilydd. Hyd yn oed os ydych chi'n gosod yr holl glytiau Microsoft diweddaraf, mae gan hacwyr lawer o offer o hyd i ennill troedle yn eich system, o'r macros VBA y dechreuais y gyfres hon â nhw i lwythi tâl maleisus yn Word neu Excel.
Yn yr erthygl olaf (rwy'n addo) yn y saga hon, byddaf yn siarad am sut i ddarparu amddiffyniad craff.
Ffynhonnell: hab.com