Artikulu hau Fileless Malware seriearen parte da. Serieko gainerako atal guztiak:
- (hemen gaude)
Artikulu sorta honetan, hackerren aldetik ahalegin minimoa eskatzen duten eraso metodoak aztertzen ditugu. Iraganean Kodea bera Microsoft Word-en DDE autoeremuko karga-kargan itsatsi daitekeela azaldu dugu. Phishing-eko mezu elektroniko bati erantsitako dokumentu bat irekiz gero, konturatu gabeko erabiltzaile batek erasotzaileari bere ordenagailuan lekua hartzeko aukera emango dio. Hala ere, 2017 amaieran, Microsoft DDEren aurkako erasoetarako zirrikitu hau.
Konponketak desgaitzen duen erregistroko sarrera gehitzen du DDE funtzioak Word-en. Oraindik funtzionalitate hau behar baduzu, aukera hau itzul dezakezu DDE gaitasun zaharrak gaituz.
Hala ere, jatorrizko adabakiak Microsoft Word bakarrik hartzen zuen. Ba al daude DDE ahultasun hauek koderik gabeko erasoetan ustiatu daitezkeen beste Microsoft Office produktu batzuetan? Bai ziur. Adibidez, Excel-en ere aurki ditzakezu.
DDE Bizidunen Gaua
Gogoan dut azken aldian COM scriptlet-en deskribapenean gelditu nintzela. Artikulu honetan geroago iritsiko naizela agintzen dut.
Bitartean, ikus dezagun DDEren beste alde gaizto bat Excel bertsioan. Word-en bezala, batzuk Excel-en DDEren ezkutuko ezaugarriak esfortzu handirik gabe kodea exekutatzeko aukera ematen dizu. Hazi nintzen Word erabiltzaile gisa, eremuak ezagutzen nituen, baina ez batere DDEko funtzioei buruz.
Harrituta geratu nintzen Excel-en gelaxka batetik shell bat dei dezakedala behean erakusten den moduan:
Ba al zenekien hori posible zela? Pertsonalki, ez dut
Windows shell bat abiarazteko gaitasun hau DDEren adeitasuna da. Beste gauza asko pentsa ditzakezu
Excel-en DDE funtzioak erabiliz konektatu ditzakezun aplikazioak.
Pentsatzen dudan gauza bera pentsatzen al duzu?
Utzi gure zelula barruko komandoak PowerShell saio bat abiarazi eta gero esteka deskargatu eta exekutatzen duena - hau , aurretik erabili duguna. Ikus behean:
Itsatsi PowerShell apur bat Excel-en urruneko kodea kargatzeko eta exekutatzeko
Baina bada harrapaketa bat: datu hauek esplizituki sartu behar dituzu gelaxkan formula honek Excel-en funtziona dezan. Nola exekutatu dezake hacker batek DDE komando hau urrunetik? Kontua da Excel taula bat irekita dagoenean, Excel DDEko esteka guztiak eguneratzen saiatuko dela. Konfiantza-zentroaren ezarpenek aspalditik dute hori desgaitzeko edo kanpoko datu-iturburuetarako estekak eguneratzean abisatzeko gaitasuna.
Azken adabakirik gabe ere, esteken eguneraketa automatikoa desgai dezakezu DDEn
Microsoft jatorriz bera 2017an enpresek esteken eguneratze automatikoak desgaitu beharko lituzkete Word eta Excel-en DDE ahultasunak saihesteko. 2018ko urtarrilean, Microsoft-ek DDE lehenespenez desgaitzen duten Excel 2007, 2010 eta 2013rako adabakiak kaleratu zituen. Hau Computerworld-ek adabakiaren xehetasun guztiak deskribatzen ditu.
Beno, zer gertatzen da gertaeren erregistroekin?
Microsoft-ek, hala ere, DDE abandonatu zuen MS Word eta Excel-erako, eta horrela, azkenean, DDE funtzionaltasuna baino akats baten antza duela aitortu zuen. Arrazoiren batengatik oraindik ez badituzu adabaki hauek instalatu, oraindik ere DDE eraso baten arriskua murriztu dezakezu esteken eguneratze automatikoak desgaituz eta dokumentuak eta kalkulu-orriak irekitzean erabiltzaileei estekak eguneratzeko eskatzen duten ezarpenak gaituz.
Orain milioi dolarreko galdera: eraso honen biktima bazara, Word eremuetatik edo Excel gelaxketatik abiarazitako PowerShell saioak agertuko al dira erregistroan?
Galdera: DDE bidez abiarazitako PowerShell saioak erregistratuta al daude? Erantzuna: bai
PowerShell saioak Excel gelaxka batetik zuzenean exekutatzen dituzunean makro gisa baino, Windows-ek gertaera hauek erregistratuko ditu (ikus goian). Aldi berean, ezin dut esan segurtasun-taldearentzat erraza izango denik PowerShell saioaren, Excel dokumentuaren eta mezu elektronikoaren arteko puntu guztiak konektatzea eta erasoa non hasi zen ulertzea. Honetara itzuliko naiz malware iheskorrari buruzko nire amaigabeko serieko azken artikuluan.
Nola dago gure COM?
Aurrekoan COM scriptlet-en gaia ukitu nuen. Berez erosoak dira. , eta horrek kodea pasatzeko aukera ematen dizu, esan JScript, besterik gabe COM objektu gisa. Baina gero hackerrek aurkitu zituzten scriptlet-ak, eta horri esker, biktimaren ordenagailuan lekua hartu zuten alferrikako tresnarik erabili gabe. Hau Derbycon-ek regsrv32 eta rundll32 bezalako Windows tresna integratuak erakusten ditu urruneko scriptlet-ak argumentu gisa onartzen dituztenak, eta hackerrek, funtsean, malwarearen laguntzarik gabe egiten dute erasoa. Azken aldian erakutsi nuen bezala, PowerShell komandoak erraz exekutatu ditzakezu JScript scriptlet bat erabiliz.
Bat oso inteligentea dela ikusi zen COM scriptlet bat exekutatzeko modu bat aurkitu du Π² Excel dokumentua. Deskubritu zuen dokumentu edo argazki baterako esteka gelaxka batean sartzen saiatzen zenean pakete jakin bat sartzen zela. Eta pakete honek urruneko scriptlet bat onartzen du sarrera gisa (ikus behean).
Aupa! COM scriptlet-ak erabiliz shell bat abiarazteko beste metodo isil eta isil bat
Behe-mailako kodea ikuskatu ondoren, ikertzaileak jakin zuen zer den benetan akatsa paketeen softwarean. Ez zen COM scriptlet-ak exekutatzeko, fitxategietara estekatzeko baizik. Ez nago ziur ahultasun honen adabakirik dagoen ala ez. Nire ikerketan Amazon WorkSpaces erabiliz Office 2010 aurrez instalatuta, emaitzak errepikatu ahal izan ditut. Hala ere, pixka bat geroago berriro saiatu nintzenean, ez zuen funtzionatu.
Benetan espero dut gauza interesgarri asko kontatu izana eta, aldi berean, hackerrak zure enpresan modu batean edo bestean sar daitezkeela erakutsi izana. Microsoft-eko azken adabaki guztiak instalatzen badituzu ere, hacker-ek tresna asko dituzte oraindik zure sisteman lekua hartzeko, serie hau hasi dudan VBA makroetatik hasita Word edo Excel-eko karga gaiztoetaraino.
Saga honetako azken (agintzen dut) artikuluan, babes adimenduna emateko moduari buruz hitz egingo dut.
Iturria: www.habr.com