Denne artikel er en del af Fileless Malware-serien. Alle andre dele af serien:
- (vi er her)
I denne artikelserie udforsker vi angrebsmetoder, der kræver minimal indsats fra hackernes side. Tidligere Vi har set, at det er muligt at indsætte selve koden i nyttelasten i et automatisk DDE-felt i Microsoft Word. Ved at åbne et sådant dokument, der er vedhæftet en phishing-e-mail, vil en uforsigtig bruger give angriberen mulighed for at få fodfæste på deres computer. Men i slutningen af 2017, Microsoft dette smuthul for angreb på DDE.
Rettelsen tilføjer en registreringsdatabasepost, der deaktiverer DDE-funktioner i Word. Hvis du stadig har brug for denne funktionalitet, kan du returnere denne indstilling ved at aktivere de gamle DDE-funktioner.
Den originale programrettelse dækkede dog kun Microsoft Word. Er der nogen af disse DDE-sårbarheder i andre Microsoft Office-produkter, der også kan udnyttes i kodeløse angreb? Ja, selvfølgelig. For eksempel kan du også finde dem i Excel.
De levendes nat DDE
Jeg husker sidste gang, jeg stoppede ved at beskrive COM-scriptlets. Jeg lover, at jeg kommer tilbage til dem senere i denne artikel.
I mellemtiden, lad os beskæftige os med en anden ond side af DDE i Excel-versionen. Ligesom i Word, nogle Skjulte DDE-funktioner i Excel tillader dig at udføre kode uden større besvær. Som Word-bruger, der er vokset op med Word, var jeg bekendt med felter, men jeg var fuldstændig uvidende om funktionerne i DDE.
Jeg var forbløffet over at erfare, at jeg i Excel kan kalde en kommandoshell fra en celle, som vist nedenfor:
Vidste du, at dette var muligt? Personligt gør jeg ikke.
Dette er en mulighed for at køre shell'en. Windows venligst stillet til rådighed for os af DDE. Vi kan komme i tanke om mange andre pr.
applikationer, som du kan oprette forbindelse til ved hjælp af Excels indbyggede DDE-funktioner.
Tænker du det samme som mig?
Lad os få vores kommando i cellen til at starte en PowerShell-session, der derefter downloader og udfører linket - dette er , som vi allerede har brugt før. Se nedenfor:
Indsæt blot lidt PowerShell for at indlæse og udføre fjernkode i Excel
Men der er en hage: du skal eksplicit indtaste disse data i cellen for at denne formel kan udføres i Excel. Hvordan kan en hacker udføre denne DDE-kommando eksternt? Sagen er, at når en Excel-tabel er åben, vil Excel forsøge at opdatere alle linkene i DDE. Indstillinger for Trust Center har længe haft muligheden for at deaktivere dette eller advare, når links til eksterne datakilder opdateres.
Selv uden de nyeste programrettelser kan du deaktivere automatisk opdatering af links i DDE
Microsoft gjorde det oprindeligt selv Virksomheder bør i 2017 deaktivere automatiske linkopdateringer for at forhindre DDE-sårbarheder i Word og Excel. I januar 2018 udgav Microsoft programrettelser til Excel 2007, 2010 og 2013, der som standard deaktiverer DDE. Denne Computerworld beskriver alle detaljerne i patchen.
Nå, hvad med hændelsesloggene?
Microsoft har endelig opgivet DDE til fordel for MS Word og Excel og indrømmer dermed endelig, at DDE mere er en fejl end en funktion. Hvis du af en eller anden grund ikke har installeret disse rettelser endnu, kan du stadig reducere risikoen for et DDE-angreb ved at deaktivere automatisk linkopdatering og aktivere muligheder, der beder brugerne om at opdatere links, når de åbner dokumenter og regneark.
Her er million-dollar-spørgsmålet: Hvis du er offer for dette angreb, vil PowerShell-sessioner, der startes fra Word-felter eller Excel-celler, så dukke op i din historik?
Spørgsmål: Logføres PowerShell-sessioner, der startes via DDE? Svar: ja
Når du starter PowerShell-sessioner direkte fra en Excel-celle i stedet for som en makro, Windows vil logge disse hændelser (se ovenfor). Jeg påstår dog ikke, at det vil være nemt for sikkerhedstjenester at forbinde punkterne mellem en PowerShell-session, et Excel-dokument og en e-mail og finde ud af, hvor angrebet begyndte. Jeg vender tilbage til dette i den sidste artikel i min uendelige serie om flygtig malware.
Hvordan er vores COM?
I det foregående Jeg berørte emnet COM-scriptlets. De er bekvemme i sig selv. , som giver dig mulighed for at overføre kode, f.eks. JScript, blot som et COM-objekt. Men så opdagede hackere scriptlets'ene, som gjorde det muligt for dem at få fodfæste på offerets computer uden at bruge ekstra værktøjer. Denne Derbycon-konference demonstrerer indbyggede værktøjer Windows, såsom regsrv32 og rundll32, som accepterer eksterne scriptlets som argumenter, hvilket giver hackere mulighed for i bund og grund at udføre deres angreb uden hjælp fra malware. Som jeg demonstrerede sidste gang, kan du nemt køre PowerShell-kommandoer ved hjælp af et JScript-scriptlet.
Det viste sig, at den ene var meget klog fandt en måde at køre COM-scriptlet'en på в Excel-dokument. Han opdagede, at når han forsøgte at indsætte et link til et dokument eller et billede i en celle, blev en bestemt pakke indsat i den. Og denne pakke accepterer roligt et fjerntliggende scriptlet som input (se nedenfor).
Bum! En anden diskret, lydløs metode til at starte en shell ved hjælp af COM-scriptlets
Efter en grundig inspektion af koden fandt forskeren ud af, at dette faktisk er insekt i softwarepakken. Det var ikke meningen at køre COM-scriptlets, men kun at referere til filer. Jeg er ikke sikker på, om der er en patch til denne sårbarhed endnu. I min egen research på et virtuelt Amazon WorkSpaces-skrivebord med Office 2010 forudinstalleret, var jeg i stand til at gengive hans resultater. Men da jeg prøvede igen lidt senere, lykkedes det ikke.
Jeg håber virkelig, at jeg har fortalt dig en masse interessante ting og samtidig vist, at hackere kan trænge ind i din virksomhed på denne eller en anden lignende måde. Selv hvis du installerer alle de nyeste Microsoft-patches, har hackere stadig masser af værktøjer til at få fodfæste på dit system, lige fra de VBA-makroer, jeg startede denne serie med, til malware-nyttelast i Word eller Excel.
I den sidste (jeg lover) artikel i denne saga vil jeg tale om, hvordan man sikrer en rimelig beskyttelse.
Kilde: www.habr.com
