Dieser Artikel ist Teil der Reihe „Fileless Malware“. Alle anderen Teile der Serie:
- (wir sind hier)
In dieser Artikelserie untersuchen wir Angriffsmethoden, die für Hacker nur minimalen Aufwand erfordern. In der Vergangenheit Wir haben besprochen, dass es möglich ist, den Code selbst in die DDE-Autofeld-Nutzlast in Microsoft Word einzufügen. Durch das Öffnen eines solchen Dokuments, das einer Phishing-E-Mail beigefügt ist, ermöglicht ein unvorsichtiger Benutzer dem Angreifer, auf seinem Computer Fuß zu fassen. Doch Ende 2017 hat Microsoft Dieses Schlupfloch für Angriffe auf DDE.
Der Fix fügt einen Registrierungseintrag hinzu, der die Funktion deaktiviert DDE-Funktionen in Worten. Wenn Sie diese Funktionalität weiterhin benötigen, können Sie diese Option zurückgeben, indem Sie die alten DDE-Funktionen aktivieren.
Der ursprüngliche Patch deckte jedoch nur Microsoft Word ab. Gibt es diese DDE-Schwachstellen in anderen Microsoft Office-Produkten, die auch für No-Code-Angriffe ausgenutzt werden könnten? Ja natürlich. Sie finden sie beispielsweise auch in Excel.
Nacht der Lebenden DDE
Ich erinnere mich, dass ich das letzte Mal bei der Beschreibung von COM-Skriptlets stehen geblieben bin. Ich verspreche, dass ich später in diesem Artikel darauf zurückkomme.
Schauen wir uns in der Zwischenzeit eine weitere böse Seite von DDE in der Excel-Version an. Genau wie in Word, einige versteckte Funktionen von DDE in Excel ermöglichen es Ihnen, Code ohne großen Aufwand auszuführen. Als aufgewachsener Word-Benutzer war ich mit den Feldern vertraut, aber mit den Funktionen in DDE überhaupt nicht vertraut.
Ich war erstaunt, als ich erfuhr, dass ich in Excel wie unten gezeigt eine Shell aus einer Zelle aufrufen kann:
Wussten Sie, dass dies möglich ist? Ich persönlich nicht
Diese Möglichkeit, eine Windows-Shell zu starten, ist DDE zu verdanken. Ihnen fallen noch viele andere Dinge ein
Anwendungen, mit denen Sie mithilfe der in Excel integrierten DDE-Funktionen eine Verbindung herstellen können.
Denken Sie das Gleiche, was ich denke?
Lassen Sie unseren In-Cell-Befehl eine PowerShell-Sitzung starten, die dann den Link herunterlädt und ausführt – diesen , die wir bereits zuvor verwendet haben. Siehe unten:
Fügen Sie einfach ein wenig PowerShell ein, um Remotecode in Excel zu laden und auszuführen
Es gibt jedoch einen Haken: Sie müssen diese Daten explizit in die Zelle eingeben, damit diese Formel in Excel funktioniert. Wie kann ein Hacker diesen DDE-Befehl aus der Ferne ausführen? Tatsache ist, dass Excel beim Öffnen einer Excel-Tabelle versucht, alle Links in DDE zu aktualisieren. In den Einstellungen des Trust Centers gibt es seit langem die Möglichkeit, dies zu deaktivieren oder beim Aktualisieren von Links zu externen Datenquellen eine Warnung auszugeben.
Auch ohne die neuesten Patches können Sie die automatische Linkaktualisierung in DDE deaktivieren
Microsoft ursprünglich selbst Unternehmen sollten im Jahr 2017 automatische Linkaktualisierungen deaktivieren, um DDE-Schwachstellen in Word und Excel zu verhindern. Im Januar 2018 veröffentlichte Microsoft Patches für Excel 2007, 2010 und 2013, die DDE standardmäßig deaktivieren. Das Computerworld beschreibt alle Details des Patches.
Nun, was ist mit Ereignisprotokollen?
Dennoch hat Microsoft DDE für MS Word und Excel aufgegeben und damit endgültig erkannt, dass es sich bei DDE eher um einen Fehler als um Funktionalität handelt. Wenn Sie diese Patches aus irgendeinem Grund noch nicht installiert haben, können Sie das Risiko eines DDE-Angriffs dennoch verringern, indem Sie automatische Linkaktualisierungen deaktivieren und Einstellungen aktivieren, die Benutzer beim Öffnen von Dokumenten und Tabellenkalkulationen zum Aktualisieren von Links auffordern.
Nun die Millionen-Dollar-Frage: Wenn Sie Opfer dieses Angriffs sind, werden PowerShell-Sitzungen, die über Word-Felder oder Excel-Zellen gestartet wurden, im Protokoll angezeigt?
Frage: Werden über DDE gestartete PowerShell-Sitzungen protokolliert? Antwort: Ja
Wenn Sie PowerShell-Sitzungen direkt aus einer Excel-Zelle statt als Makro ausführen, protokolliert Windows diese Ereignisse (siehe oben). Gleichzeitig kann ich nicht behaupten, dass es für das Sicherheitsteam einfach sein wird, alle Punkte zwischen der PowerShell-Sitzung, dem Excel-Dokument und der E-Mail-Nachricht zu verbinden und zu verstehen, wo der Angriff begann. Darauf werde ich im letzten Artikel meiner nicht enden wollenden Serie über die schwer fassbare Malware zurückkommen.
Wie ist unser COM?
Im vorigen Ich habe das Thema COM-Skriptlets angesprochen. Sie sind an sich praktisch. , mit dem Sie Code, beispielsweise JScript, einfach als COM-Objekt übergeben können. Doch dann wurden die Skriptlets von Hackern entdeckt und ermöglichten es ihnen, ohne den Einsatz unnötiger Tools auf dem Computer des Opfers Fuß zu fassen. Das von Derbycon demonstriert integrierte Windows-Tools wie regsrv32 und rundll32, die Remote-Skriptlets als Argumente akzeptieren, und Hacker führen ihren Angriff im Wesentlichen ohne die Hilfe von Malware durch. Wie ich letztes Mal gezeigt habe, können Sie PowerShell-Befehle problemlos mit einem JScript-Skriptlet ausführen.
Es stellte sich heraus, dass man sehr schlau ist Ich habe eine Möglichkeit gefunden, ein COM-Skriptlet auszuführen в Excel-Dokument. Er entdeckte, dass beim Versuch, einen Link zu einem Dokument oder Bild in eine Zelle einzufügen, ein bestimmtes Paket darin eingefügt wurde. Und dieses Paket akzeptiert stillschweigend ein Remote-Skriptlet als Eingabe (siehe unten).
Boom! Eine weitere heimliche, stille Methode zum Starten einer Shell mithilfe von COM-Skriptlets
Nach einer Low-Level-Code-Inspektion fand der Forscher heraus, was es wirklich ist ein Fehler im Paket Software. Es war nicht dazu gedacht, COM-Skriptlets auszuführen, sondern nur zum Verknüpfen mit Dateien. Ich bin mir nicht sicher, ob es bereits einen Patch für diese Sicherheitslücke gibt. In meiner eigenen Studie mit Amazon WorkSpaces mit vorinstalliertem Office 2010 konnte ich die Ergebnisse reproduzieren. Als ich es jedoch etwas später noch einmal versuchte, funktionierte es nicht.
Ich hoffe wirklich, dass ich Ihnen viele interessante Dinge erzählt und gleichzeitig gezeigt habe, dass Hacker auf die eine oder andere ähnliche Weise in Ihr Unternehmen eindringen können. Selbst wenn Sie alle aktuellen Microsoft-Patches installieren, stehen Hackern immer noch viele Tools zur Verfügung, um in Ihrem System Fuß zu fassen, von den VBA-Makros, mit denen ich diese Serie begonnen habe, bis hin zu bösartigen Payloads in Word oder Excel.
Im letzten (ich verspreche) Artikel dieser Saga werde ich darüber sprechen, wie man intelligenten Schutz bietet.
Source: habr.com