Denne artikel er en del af Fileless Malware-serien. Alle andre dele af serien:
- (vi er her)
I denne serie af artikler udforsker vi angrebsmetoder, der kræver minimal indsats fra hackere side. I fortiden Vi har dækket, at det er muligt at indsætte selve koden i DDE autofield-nyttelasten i Microsoft Word. Ved at åbne et sådant dokument vedhæftet en phishing-e-mail, vil en uforsigtig bruger tillade angriberen at få fodfæste på sin computer. Men i slutningen af 2017, Microsoft dette smuthul for angreb på DDE.
Rettelsen tilføjer en post i registreringsdatabasen, der deaktiverer DDE-funktioner i Word. Hvis du stadig har brug for denne funktionalitet, kan du returnere denne mulighed ved at aktivere de gamle DDE-funktioner.
Den originale patch dækkede dog kun Microsoft Word. Findes disse DDE-sårbarheder i andre Microsoft Office-produkter, som også kan udnyttes i angreb uden kode? Ja sikkert. Du kan for eksempel også finde dem i Excel.
Night of the Living DDE
Jeg kan huske, at jeg sidste gang stoppede ved beskrivelsen af COM-scriptlets. Jeg lover, at jeg vil komme til dem senere i denne artikel.
Lad os i mellemtiden se på en anden ond side af DDE i Excel-versionen. Ligesom i Word, nogle skjulte funktioner i DDE i Excel giver dig mulighed for at udføre kode uden stor indsats. Som Word-bruger, der voksede op, var jeg bekendt med felterne, men slet ikke med funktionerne i DDE.
Jeg var overrasket over at lære, at jeg i Excel kan kalde en shell fra en celle som vist nedenfor:
Vidste du, at dette var muligt? Personligt gør jeg ikke
Denne mulighed for at starte en Windows-skal er høflighed af DDE. Du kan tænke på mange andre ting
Programmer, som du kan forbinde til ved hjælp af Excels indbyggede DDE-funktioner.
Tænker du det samme som jeg?
Lad vores in-celle-kommando starte en PowerShell-session, der derefter downloader og udfører linket - dette , som vi allerede har brugt før. Se nedenunder:
Indsæt bare lidt PowerShell for at indlæse og køre fjernkode i Excel
Men der er en hake: du skal udtrykkeligt indtaste disse data i cellen for at denne formel kan fungere i Excel. Hvordan kan en hacker udføre denne DDE-kommando eksternt? Faktum er, at når en Excel-tabel er åben, vil Excel forsøge at opdatere alle links i DDE. Trust Center-indstillinger har længe haft mulighed for at deaktivere dette eller advare ved opdatering af links til eksterne datakilder.
Selv uden de nyeste patches kan du deaktivere automatisk linkopdatering i DDE
Microsoft oprindeligt sig selv Virksomheder i 2017 bør deaktivere automatiske linkopdateringer for at forhindre DDE-sårbarheder i Word og Excel. I januar 2018 udgav Microsoft patches til Excel 2007, 2010 og 2013, der deaktiverer DDE som standard. Det her Computerworld beskriver alle detaljerne i patchen.
Nå, hvad med hændelseslogfiler?
Microsoft opgav ikke desto mindre DDE til MS Word og Excel og erkendte derved endelig, at DDE er mere som en fejl end funktionalitet. Hvis du af en eller anden grund endnu ikke har installeret disse patches, kan du stadig reducere risikoen for et DDE-angreb ved at deaktivere automatiske linkopdateringer og aktivere indstillinger, der beder brugerne om at opdatere links, når de åbner dokumenter og regneark.
Nu spørgsmålet om millioner dollars: Hvis du er offer for dette angreb, vil PowerShell-sessioner, der er startet fra Word-felter eller Excel-celler, dukke op i loggen?
Spørgsmål: Bliver PowerShell-sessioner lanceret via DDE logget? Svar: ja
Når du kører PowerShell-sessioner direkte fra en Excel-celle i stedet for som en makro, vil Windows logge disse hændelser (se ovenfor). Samtidig kan jeg ikke påstå, at det vil være nemt for sikkerhedsteamet at derefter forbinde alle prikkerne mellem PowerShell-sessionen, Excel-dokumentet og e-mail-beskeden og forstå, hvor angrebet startede. Jeg vender tilbage til dette i den sidste artikel i min uendelige serie om den undvigende malware.
Hvordan er vores COM?
I det foregående Jeg kom ind på emnet COM-scriptlets. De er praktiske i sig selv. , som giver dig mulighed for at sende kode, f.eks. JScript, blot som et COM-objekt. Men så blev scriptlets opdaget af hackere, og det gav dem mulighed for at få fodfæste på ofrets computer uden brug af unødvendige værktøjer. Det her fra Derbycon demonstrerer indbyggede Windows-værktøjer såsom regsrv32 og rundll32, der tager eksterne scriptlets som argumenter, og hackere udfører i det væsentlige deres angreb uden hjælp fra malware. Som jeg viste sidste gang, kan du nemt køre PowerShell-kommandoer ved hjælp af en JScript-scriptlet.
Det viste sig, at man er meget klog fundet en måde at køre et COM-scriptlet på в Excel dokument. Han opdagede, at når han forsøgte at indsætte et link til et dokument eller billede i en celle, blev en bestemt pakke indsat i den. Og denne pakke accepterer stille og roligt et fjernscriptlet som input (se nedenfor).
Bom! En anden snigende, tavs metode til at starte en shell ved hjælp af COM-scriptlets
Efter en kodeinspektion på lavt niveau fandt forskeren ud af, hvad det egentlig er insekt i pakkesoftwaren. Det var ikke meningen at køre COM-scriptlets, men kun at linke til filer. Jeg er ikke sikker på, om der allerede er en patch til denne sårbarhed. I min egen undersøgelse, hvor jeg brugte Amazon WorkSpaces med Office 2010 forudinstalleret, var jeg i stand til at replikere resultaterne. Men da jeg prøvede igen lidt senere, virkede det ikke.
Jeg håber virkelig, at jeg fortalte dig en masse interessante ting og samtidig viste, at hackere kan trænge ind i din virksomhed på en eller anden lignende måde. Selvom du installerer alle de nyeste Microsoft-patches, har hackere stadig mange værktøjer til at få fodfæste i dit system, lige fra de VBA-makroer, jeg startede denne serie med, til ondsindede nyttelaster i Word eller Excel.
I den sidste (jeg lover) artikel i denne saga vil jeg tale om, hvordan man giver smart beskyttelse.
Kilde: www.habr.com