Ĉi tiu artikolo estas parto de la serio Fileless Malware. Ĉiuj aliaj partoj de la serio:
- (ni estas ĉi tie)
En ĉi tiu serio de artikoloj, ni esploras atakmetodojn, kiuj postulas minimuman penadon flanke de piratoj. En la pasinteco Ni priskribis, ke eblas enmeti la kodon mem en la aŭtokampan ŝarĝon de DDE en Microsoft Word. Malfermante tian dokumenton alfiksitan al phishing-retpoŝto, nesingarda uzanto permesos al la atakanto akiri piedtenon sur sia komputilo. Tamen, fine de 2017, Microsoft ĉi tiu kaŝpasejo por atakoj kontraŭ DDE.
La riparo aldonas registran eniron kiu malŝaltas DDE-funkcioj en Vorto. Se vi ankoraŭ bezonas ĉi tiun funkcion, tiam vi povas redoni ĉi tiun opcion ebligante la malnovajn DDE-kapablojn.
Tamen, la origina flikaĵo nur kovris Microsoft Word. Ĉu ĉi tiuj DDE-vundeblecoj ekzistas en aliaj Microsoft Office-produktoj kiuj ankaŭ povus esti ekspluatitaj en senkodaj atakoj? Jes certa. Ekzemple, vi ankaŭ povas trovi ilin en Excel.
Nokto de la Vivanta DDE
Mi memoras, ke lastan fojon mi haltis ĉe la priskribo de COM-scriptlets. Mi promesas, ke mi atingos ilin poste en ĉi tiu artikolo.
Intertempe, ni rigardu alian malbonan flankon de DDE en la Excel-versio. Same kiel en Vorto, iuj kaŝitaj trajtoj de DDE en Excel permesas al vi ekzekuti kodon sen multe da peno. Kiel Word-uzanto kiu kreskis, mi konis la kampojn, sed tute ne pri la funkcioj en DDE.
Mi miris lerni, ke en Excel mi povas voki ŝelon el ĉelo kiel montrite sube:
Ĉu vi sciis, ke tio eblas? Persone, mi ne faras
Ĉi tiu kapablo lanĉi Vindozan ŝelon estas ĝentileco de DDE. Vi povas pensi pri multaj aliaj aferoj
Aplikoj al kiuj vi povas konektiĝi uzante la enkonstruitajn DDE-funkciojn de Excel.
Ĉu vi pensas la samon, kion mi pensas?
Lasu nian enĉelan komandon komenci PowerShell-sesion, kiu poste elŝutas kaj efektivigas la ligon - ĉi tio , kiun ni jam uzis antaŭe. Vidu sube:
Nur algluu iomete PowerShell por ŝargi kaj ruli fora kodo en Excel
Sed estas kapto: vi devas eksplicite enigi ĉi tiujn datumojn en la ĉelon por ke ĉi tiu formulo funkciu en Excel. Kiel povas retpirato ekzekuti ĉi tiun DDE-komandon malproksime? Fakte, kiam Excel-tabelo estas malfermita, Excel provos ĝisdatigi ĉiujn ligilojn en DDE. Fidocentro-agordoj longe havas la kapablon malŝalti ĉi tion aŭ averti dum ĝisdatigo de ligiloj al eksteraj datumfontoj.
Eĉ sen la plej novaj flikoj, vi povas malŝalti aŭtomatan ĝisdatigon de ligoj en DDE
Microsoft origine mem Firmaoj en 2017 devus malŝalti aŭtomatajn ligajn ĝisdatigojn por malhelpi DDE-vundeblecojn en Word kaj Excel. En januaro 2018, Mikrosofto publikigis diakilojn por Excel 2007, 2010 kaj 2013 kiuj malfunkciigas DDE defaŭlte. Ĉi tio Computerworld priskribas ĉiujn detalojn de la flikaĵo.
Nu, kio pri evento protokoloj?
Mikrosofto tamen forlasis DDE por MS Word kaj Excel, tiel finfine rekonante ke DDE estas pli kiel cimo ol funkcieco. Se ial vi ankoraŭ ne instalis ĉi tiujn diakilojn, vi ankoraŭ povas redukti la riskon de DDE-atako malŝaltante aŭtomatajn ligajn ĝisdatigojn kaj ebligante agordojn, kiuj instigas uzantojn ĝisdatigi ligilojn dum malfermado de dokumentoj kaj kalkultabeloj.
Nun la milion-dolara demando: Se vi estas viktimo de ĉi tiu atako, ĉu PowerShell-sesioj lanĉitaj de Word-kampoj aŭ Excel-ĉeloj aperos en la protokolo?
Demando: Ĉu PowerShell-sesioj lanĉitaj per DDE estas registritaj? Respondo: jes
Kiam vi rulas PowerShell-sesiojn rekte de Excel-ĉelo prefere ol kiel makroo, Vindozo registros ĉi tiujn eventojn (vidu supre). Samtempe, mi ne povas aserti, ke estos facile por la sekureca teamo tiam konekti ĉiujn punktojn inter la sesio de PowerShell, la Excel-dokumento kaj la retpoŝta mesaĝo kaj kompreni kie komenciĝis la atako. Mi revenos al ĉi tio en la lasta artikolo en mia senfina serio pri la evitema malware.
Kiel fartas nia COM?
En la antaŭa Mi tuŝis la temon de COM scriptlets. Ili estas oportunaj en si mem. , kiu permesas vin pasi kodon, diru JScript, simple kiel COM-objekto. Sed tiam la scriptlets estis malkovritaj de retpiratoj, kaj tio permesis al ili akiri piedtenon sur la komputilo de la viktimo sen la uzo de nenecesaj iloj. Ĉi tio de Derbycon pruvas enkonstruitajn Vindozajn ilojn kiel regsrv32 kaj rundll32, kiuj akceptas forajn scriptlets kiel argumentojn, kaj hackers esence efektivigas sian atakon sen helpo de malware. Kiel mi montris la lastan fojon, vi povas facile ruli PowerShell-komandojn per JScript-skriptlet.
Montriĝis, ke oni estas tre saĝa trovis manieron ruli COM-scriptlet в Excel-dokumento. Li malkovris, ke kiam li provis enigi ligilon al dokumento aŭ bildo en ĉelon, certa pako estis enmetita en ĝin. Kaj ĉi tiu pako trankvile akceptas foran skriptletaĵon kiel enigaĵon (vidu sube).
Eksplodo! Alia kaŝa, silenta metodo por lanĉi ŝelon per COM-skriptleteroj
Post malaltnivela koda inspektado, la esploristo eksciis, kio ĝi vere estas cimo en la paka programaro. Ĝi ne intencis ruli COM-skriptletojn, sed nur ligi al dosieroj. Mi ne certas ĉu jam ekzistas flikaĵo por ĉi tiu vundebleco. En mia propra studo uzante Amazon WorkSpaces kun Office 2010 antaŭinstalita, mi povis reprodukti la rezultojn. Tamen, kiam mi provis denove iom poste, ĝi ne funkciis.
Mi vere esperas, ke mi rakontis al vi multajn interesajn aferojn kaj samtempe montris, ke retpiratoj povas penetri vian kompanion per unu aŭ alia simila maniero. Eĉ se vi instalas ĉiujn la lastajn Microsoft-flakilojn, piratoj ankoraŭ havas multajn ilojn por akiri lokon en via sistemo, de la VBA-makrooj kun kiuj mi komencis ĉi tiun serion ĝis malicaj ŝarĝoj en Word aŭ Excel.
En la fina (mi promesas) artikolo en ĉi tiu sagao, mi parolos pri kiel provizi inteligentan protekton.
fonto: www.habr.com