Αυτό το άρθρο είναι μέρος της σειράς Fileless Malware. Όλα τα άλλα μέρη της σειράς:
- (είμαστε εδώ)
Σε αυτήν τη σειρά άρθρων, διερευνούμε μεθόδους επίθεσης που απαιτούν ελάχιστη προσπάθεια από την πλευρά των χάκερ. Στο παρελθόν Καλύψαμε ότι είναι δυνατή η εισαγωγή του ίδιου του κώδικα στο ωφέλιμο φορτίο αυτόματου πεδίου DDE στο Microsoft Word. Ανοίγοντας ένα τέτοιο έγγραφο που είναι συνημμένο σε ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος, ένας απρόσεκτος χρήστης θα επιτρέψει στον εισβολέα να αποκτήσει βάση στον υπολογιστή του. Ωστόσο, στο τέλος του 2017, η Microsoft αυτό το κενό για επιθέσεις στο DDE.
Η ενημέρωση κώδικα προσθέτει μια καταχώρηση μητρώου που απενεργοποιεί Λειτουργίες DDE στο Word. Εάν εξακολουθείτε να χρειάζεστε αυτήν τη λειτουργία, τότε μπορείτε να επιστρέψετε αυτήν την επιλογή ενεργοποιώντας τις παλιές δυνατότητες DDE.
Ωστόσο, η αρχική ενημέρωση κώδικα κάλυπτε μόνο το Microsoft Word. Υπάρχουν αυτά τα τρωτά σημεία DDE σε άλλα προϊόντα του Microsoft Office που θα μπορούσαν επίσης να χρησιμοποιηθούν σε επιθέσεις χωρίς κώδικα; Ναι σίγουρα. Για παράδειγμα, μπορείτε επίσης να τα βρείτε στο Excel.
Night of the Living DDE
Θυμάμαι εκείνη την τελευταία φορά που σταμάτησα στην περιγραφή των scriptlet COM. Υπόσχομαι ότι θα τους φτάσω αργότερα σε αυτό το άρθρο.
Στο μεταξύ, ας δούμε μια άλλη κακή πλευρά του DDE στην έκδοση του Excel. Ακριβώς όπως στο Word, μερικά κρυφές δυνατότητες του DDE στο Excel σας επιτρέπουν να εκτελέσετε κώδικα χωρίς μεγάλη προσπάθεια. Ως χρήστης του Word που μεγάλωσα, ήμουν εξοικειωμένος με τα πεδία, αλλά καθόλου με τις λειτουργίες στο DDE.
Έμεινα έκπληκτος όταν έμαθα ότι στο Excel μπορώ να καλέσω ένα κέλυφος από ένα κελί όπως φαίνεται παρακάτω:
Γνωρίζατε ότι αυτό ήταν δυνατό; Προσωπικά, δεν το κάνω
Αυτή η δυνατότητα εκκίνησης ενός κελύφους των Windows παρέχεται από την DDE. Μπορείτε να σκεφτείτε πολλά άλλα πράγματα
Εφαρμογές στις οποίες μπορείτε να συνδεθείτε χρησιμοποιώντας τις ενσωματωμένες λειτουργίες DDE του Excel.
Σκέφτεσαι το ίδιο που σκέφτομαι κι εγώ;
Αφήστε την εντολή εντός κελιού να ξεκινήσει μια περίοδο λειτουργίας PowerShell που στη συνέχεια κατεβάζει και εκτελεί τον σύνδεσμο - αυτό , που έχουμε ήδη χρησιμοποιήσει στο παρελθόν. Δες παρακάτω:
Απλώς επικολλήστε λίγο PowerShell για να φορτώσετε και να εκτελέσετε απομακρυσμένο κώδικα στο Excel
Αλλά υπάρχει μια σύλληψη: πρέπει να εισαγάγετε ρητά αυτά τα δεδομένα στο κελί για να λειτουργήσει αυτός ο τύπος στο Excel. Πώς μπορεί ένας χάκερ να εκτελέσει αυτή την εντολή DDE από απόσταση; Το γεγονός είναι ότι όταν ένας πίνακας Excel είναι ανοιχτός, το Excel θα προσπαθήσει να ενημερώσει όλους τους συνδέσμους στο DDE. Οι ρυθμίσεις του Trust Center είχαν από καιρό τη δυνατότητα να το απενεργοποιούν ή να προειδοποιούν κατά την ενημέρωση συνδέσμων σε εξωτερικές πηγές δεδομένων.
Ακόμη και χωρίς τις πιο πρόσφατες ενημερώσεις κώδικα, μπορείτε να απενεργοποιήσετε την αυτόματη ενημέρωση συνδέσμων στο DDE
Η Microsoft αρχικά η ίδια Οι εταιρείες το 2017 θα πρέπει να απενεργοποιήσουν τις αυτόματες ενημερώσεις συνδέσμων για να αποτρέψουν ευπάθειες DDE στο Word και στο Excel. Τον Ιανουάριο του 2018, η Microsoft κυκλοφόρησε ενημερώσεις κώδικα για το Excel 2007, 2010 και 2013 που απενεργοποιούν το DDE από προεπιλογή. Αυτό Το Computerworld περιγράφει όλες τις λεπτομέρειες της ενημέρωσης κώδικα.
Λοιπόν, τι γίνεται με τα αρχεία καταγραφής συμβάντων;
Ωστόσο, η Microsoft εγκατέλειψε το DDE για το MS Word και το Excel, αναγνωρίζοντας τελικά ότι το DDE μοιάζει περισσότερο με σφάλμα παρά με λειτουργικότητα. Εάν για κάποιο λόγο δεν έχετε εγκαταστήσει ακόμη αυτές τις ενημερώσεις κώδικα, μπορείτε να μειώσετε τον κίνδυνο επίθεσης DDE απενεργοποιώντας τις αυτόματες ενημερώσεις συνδέσμων και ενεργοποιώντας τις ρυθμίσεις που ζητούν από τους χρήστες να ενημερώνουν συνδέσμους όταν ανοίγουν έγγραφα και υπολογιστικά φύλλα.
Τώρα η ερώτηση ενός εκατομμυρίου δολαρίων: Εάν πέσετε θύμα αυτής της επίθεσης, θα εμφανιστούν στο αρχείο καταγραφής οι περίοδοι λειτουργίας PowerShell που ξεκινούν από πεδία του Word ή κελιά του Excel;
Ερώτηση: Έχουν καταγραφεί οι περίοδοι λειτουργίας του PowerShell που ξεκινούν μέσω DDE; Απάντηση: ναι
Όταν εκτελείτε συνεδρίες PowerShell απευθείας από ένα κελί του Excel και όχι ως μακροεντολή, τα Windows θα καταγράφουν αυτά τα συμβάντα (δείτε παραπάνω). Ταυτόχρονα, δεν μπορώ να ισχυριστώ ότι θα είναι εύκολο για την ομάδα ασφαλείας να συνδέσει στη συνέχεια όλες τις κουκκίδες μεταξύ της περιόδου λειτουργίας PowerShell, του εγγράφου του Excel και του μηνύματος email και να καταλάβει πού ξεκίνησε η επίθεση. Θα επανέλθω σε αυτό στο τελευταίο άρθρο της ατελείωτης σειράς μου για το άπιαστο κακόβουλο λογισμικό.
Πώς είναι η COM μας;
Στο προηγούμενο Έθιξα το θέμα των scriptlet COM. Είναι βολικά από μόνα τους. , το οποίο σας επιτρέπει να περάσετε κώδικα, ας πούμε JScript, απλώς ως αντικείμενο COM. Στη συνέχεια, όμως, τα σενάρια ανακαλύφθηκαν από χάκερ και αυτό τους επέτρεψε να αποκτήσουν βάση στον υπολογιστή του θύματος χωρίς τη χρήση περιττών εργαλείων. Αυτό από το Derbycon επιδεικνύει ενσωματωμένα εργαλεία των Windows όπως το regsrv32 και το rundll32 που δέχονται απομακρυσμένα scriptlet ως επιχειρήματα και οι χάκερ ουσιαστικά πραγματοποιούν την επίθεσή τους χωρίς τη βοήθεια κακόβουλου λογισμικού. Όπως έδειξα την τελευταία φορά, μπορείτε εύκολα να εκτελέσετε εντολές PowerShell χρησιμοποιώντας ένα scriptlet JScript.
Αποδείχθηκε ότι κάποιος είναι πολύ έξυπνος βρήκε έναν τρόπο να τρέξει ένα σενάριο COM в Έγγραφο Excel. Ανακάλυψε ότι όταν προσπάθησε να εισαγάγει έναν σύνδεσμο προς ένα έγγραφο ή μια εικόνα σε ένα κελί, ένα συγκεκριμένο πακέτο εισήχθη σε αυτό. Και αυτό το πακέτο δέχεται αθόρυβα ένα απομακρυσμένο scriptlet ως είσοδο (δείτε παρακάτω).
Κεραία! Μια άλλη μυστική, αθόρυβη μέθοδος εκκίνησης ενός κελύφους χρησιμοποιώντας scriptlet COM
Μετά από έλεγχο κώδικα χαμηλού επιπέδου, ο ερευνητής ανακάλυψε τι είναι πραγματικά έντομο στο λογισμικό πακέτου. Δεν προοριζόταν για την εκτέλεση scriptlet COM, αλλά μόνο για σύνδεση σε αρχεία. Δεν είμαι σίγουρος αν υπάρχει ήδη μια ενημέρωση κώδικα για αυτήν την ευπάθεια. Στη δική μου μελέτη χρησιμοποιώντας το Amazon WorkSpaces με προεγκατεστημένο το Office 2010, μπόρεσα να αναπαράγω τα αποτελέσματα. Ωστόσο, όταν προσπάθησα ξανά λίγο αργότερα, δεν πέτυχε.
Ελπίζω πραγματικά ότι σας είπα πολλά ενδιαφέροντα πράγματα και ταυτόχρονα έδειξα ότι οι χάκερ μπορούν να διεισδύσουν στην εταιρεία σας με τον έναν ή τον άλλον παρόμοιο τρόπο. Ακόμα κι αν εγκαταστήσετε όλες τις πιο πρόσφατες ενημερώσεις κώδικα της Microsoft, οι χάκερ εξακολουθούν να έχουν πολλά εργαλεία για να αποκτήσουν βάση στο σύστημά σας, από τις μακροεντολές VBA με τις οποίες ξεκίνησα αυτήν τη σειρά έως κακόβουλα ωφέλιμα φορτία στο Word ή το Excel.
Στο τελευταίο (υπόσχομαι) άρθρο σε αυτό το έπος, θα μιλήσω για το πώς να παρέχετε έξυπνη προστασία.
Πηγή: www.habr.com