Artikulu hau Fileless Malware seriearen parte da. Serieko gainerako atal guztiak:
- The Adventures of the Elusive Malware, Part IV: DDE and Word Document Fields (hemen gaude)
Artikulu honetan, fase anitzeko fitxategirik gabeko eraso agertoki are konplexuago batean murgilduko nintzen sisteman finkatzearekin. Baina orduan koderik gabeko eraso izugarri sinple batekin egin nuen topo: ez da beharrezkoa Word edo Excel makrorik! Eta horrek askoz eraginkorrago frogatzen du artikulu sorta honen azpian dagoen nire jatorrizko hipotesia: edozein erakunderen kanpoko perimetroa haustea ez da batere lan zaila.
Deskribatuko dudan lehen erasoak oinarri duen Microsoft Word ahultasun bat ustiatzen du zaharkitua (DDE). Jada zegoen . Bigarrenak Microsoft COM eta objektuak transferitzeko gaitasunetan ahultasun orokorrago bat ustiatzen du.
Itzuli etorkizunera DDErekin
Beste norbait gogoratzen da DDE? Seguru asko ez. Lehenengoetako bat izan zen aplikazio eta gailuek datuak transferitzeko aukera ematen zuten prozesuen arteko komunikazio-protokoloak.
Apur bat ezagutzen dut, telekomunikazio ekipoak egiaztatzen eta probatzen nituelako. Garai hartan, DDEk, adibidez, dei-zentroko operadoreei CRM aplikazio batera transferitzeko baimena eman zien deien IDa, eta azkenean bezero-txartel bat ireki zuen. Horretarako, RS-232 kable bat konektatu behar izan duzu telefonoaren eta ordenagailuaren artean. Horiek ziren egunak!
Bihurtzen denez, Microsoft Word oraindik dago DDE.
Eraso hau koderik gabe eraginkorra egiten duena da DDE protokoloa sar dezakezula zuzenean Word dokumentu bateko eremu automatikoetatik (txapela SensePost-i horri buruz).
Eremu kodeak MS Word antzinako beste ezaugarri bat da, zure dokumentuari testu dinamikoa eta programazio pixka bat gehitzeko aukera ematen duena. Adibiderik nabarmenena orri-zenbakiaren eremua da, oinean txerta daitekeena {PAGE *MERGEFORMAT} balioa erabiliz. Horri esker, orri-zenbakiak automatikoki sor daitezke.
Aholkua: Eremua menuko elementua Txertatu azpian aurki dezakezu.
Gogoan dut Word-en eginbide hau lehen aldiz aurkitu nuenean harrituta nengoela. Eta adabakiak desgaitu zuen arte, Word-ek DDE eremuen aukera onartzen zuen oraindik. Ideia zen DDE-k Word aplikazioarekin zuzenean komunikatzea ahalbidetuko zuela, eta horrela programaren irteera dokumentu batera pasa zezan. Garai hartan oso teknologia gaztea zen: kanpoko aplikazioekin datuak trukatzeko euskarria. Geroago COM teknologian garatu zen, behean ere aztertuko duguna.
Azkenean, hackerrak konturatu ziren DDE aplikazio hau komando-shell bat izan zitekeela, eta horrek noski PowerShell abiarazi zuen, eta hortik hackerrek nahi zutena egin zezaketen.
Beheko pantaila-argazkiak ezkutuko teknika hau nola erabili dudan erakusten du: DDE eremuko PowerShell script txiki batek (aurrerantzean PS izenarekin) beste PS script bat kargatzen du, erasoaren bigarren fasea abiarazten duena.
Eskerrik asko Windows-i integratutako DDEAUTO eremua shell-a abiarazten saiatzen ari dela dioen pop-up abisuagatik
Ahultasuna ustiatzeko hobetsitako metodoa DDEAUTO eremuarekin aldaera bat erabiltzea da, scripta automatikoki exekutatzen duena. irekitzean Word dokumentua.
Pentsa dezagun zer egin dezakegun honen aurrean.
Hacker hasiberria zarenez, adibidez, phishing-mezu bat bidali dezakezu, Zerga Zerbitzu Federalekoa zarela irudikatuz, eta DDEAUTO eremua PS gidoiarekin txerta dezakezu lehen faserako (tantagailua, funtsean). Eta ez duzu makroen benetako kodeketarik egin beharrik, etab., nik urtean egin nuen bezala
Biktimak zure dokumentua irekitzen du, kapsulatutako scripta aktibatu egiten da eta hacker-a ordenagailuaren barruan amaitzen da. Nire kasuan, urruneko PS gidoiak mezu bat inprimatzen du, baina PS Empire bezeroa bezain erraz abiarazi lezake, urruneko shell sarbidea emango duena.
Eta biktimak ezer esateko astirik izan baino lehen, hackerrak herriko nerabe aberatsenak izango dira.
Maskorra kodetze txikienik gabe abiarazi zen. Haur batek ere egin dezake!
DDE eta eremuak
Geroago Microsoft-ek DDE desgaitu zuen Word-en, baina ez konpainiak funtzioa gaizki erabili zela adierazi aurretik. Ulergarria da ezer aldatzeko duten errezeloa. Nire esperientziaren arabera, nik neuk dokumentu bat irekitzean eremuak eguneratzea gaituta zegoen adibide bat ikusi dut, baina Word-eko makroak IT-ak desgaitu zituen (baina jakinarazpen bat erakutsiz). Bide batez, dagozkion ezarpenak Word ezarpenak atalean aurki ditzakezu.
Hala ere, eremuen eguneratzea gaituta badago ere, Microsoft Word-ek erabiltzaileari ere jakinarazten dio eremu batek ezabatutako datuetarako sarbidea eskatzen duenean, goian DDErekin gertatzen den bezala. Microsoft benetan abisatzen dizu.
Baina ziurrenik, erabiltzaileek abisu hau baztertu eta Word-en eremuen eguneratzea aktibatuko dute. Microsofti eskerrak emateko aukera bakanetako bat da DDE funtzio arriskutsua desgaitzeagatik.
Zein zaila da gaur egun adabakirik gabeko Windows sistema bat aurkitzea?
Proba honetarako, AWS Workspaces erabili nuen mahaigain birtual batera sartzeko. Honela adabakirik gabeko MS Office makina birtual bat lortu nuen, DDEAUTO eremua txertatzeko aukera eman zidana. Dudarik ez dut antzeko modu batean oraindik beharrezko segurtasun-adabakiak instalatu ez dituzten beste enpresa batzuk aurki ditzakezula.
Objektuen misterioa
Adabaki hau instalatu baduzu ere, MS Office-n beste segurtasun-zulo batzuk daude hacker-ek Word-ekin egin genuenaren oso antzeko zerbait egiteko aukera ematen dutenak. Hurrengo eszenatokian ikasiko dugu Erabili Excel phishing-eraso baterako beita gisa inolako koderik idatzi gabe.
Eszenatoki hau ulertzeko, gogora dezagun Microsoft Component Object Model, edo laburbilduz COM (Osagaien Objektu Eredua).
COM 1990eko hamarkadatik dago, eta RPC urruneko prozedura-deietan oinarritutako "hizkuntza-neutroa, objektuetara bideratutako osagai eredu" gisa definitzen da. COM terminologia orokorrean ulertzeko, irakurri StackOverflow-en.
Funtsean, COM aplikazio bat Excel edo Word exekutagarri gisa pentsa dezakezu, edo exekutatzen den beste fitxategi bitar bat bezala.
Bihurtzen da COM aplikazio bat ere exekutatu daitekeela eszenatokia β JavaScript edo VBScript. Teknikoki deitzen zaio gidoia. Baliteke Windows-eko fitxategietarako .sct luzapena ikusi izana; hau da scriptletentzako luzapen ofiziala. Funtsean, XML bilgarri batean bildutako script-kodeak dira:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackerrek eta pentester-ek aurkitu dute Windows-en COM objektuak eta, ondorioz, scriptlet-ak ere onartzen dituzten utilitate eta aplikazio bereiziak daudela.
Scriptlet bat pubprn izenez ezagutzen den VBSn idatzitako Windows utilitate batera pasa dezaket. C:Windowssystem32Printing_Admin_Scripts-en sakoneran dago. Bide batez, badira objektuak parametro gisa onartzen dituzten beste Windows utilitate batzuk. Ikus dezagun lehenik adibide hau.
Nahiko naturala da shell-a inprimatutako script batetik ere abiarazi daitekeela. Joan Microsoft!
Proba gisa, shell bat abiarazi eta mezu dibertigarri bat inprimatzen duen urruneko scriptlet soil bat sortu nuen, "Scriptatu berri duzu!" Funtsean, pubprn-ek scriptlet objektu bat instantziatzen du, VBScript kodea bilgarri bat exekutatzeko aukera emanez. Metodo honek abantaila argia eskaintzen die zure sisteman sartu eta ezkutatu nahi duten hackerrei.
Hurrengo mezuan, Excel kalkulu-orriak erabiliz COM scriptlet-ak hackerrek nola ustiatu ditzaketen azalduko dut.
Zure etxeko lanak egiteko, begiratu Derbycon 2016-tik, hacker-ek scriptlet-ak nola erabiltzen zituzten zehatz-mehatz azaltzen duena. Eta irakurri ere bai scriptlets eta nolabaiteko goitizenari buruz.
Iturria: www.habr.com