Tämä artikkeli on osa Fileless Malware -sarjaa. Kaikki muut sarjan osat:
- (Olemme täällä)
Tässä artikkelisarjassa tutkimme hyökkäysmenetelmiä, jotka vaativat vain vähän vaivaa hakkereilta. Menneisyydessä Olemme käsitelleet, että on mahdollista lisätä itse koodi DDE:n automaattiseen hyötykuormaan Microsoft Wordissa. Avaamalla tällaisen phishing-sähköpostiin liitetyn asiakirjan varomaton käyttäjä antaa hyökkääjän saada jalansijaa tietokoneellaan. Kuitenkin vuoden 2017 lopussa Microsoft tämä porsaanreikä DDE-hyökkäyksille.
Korjaus lisää rekisterimerkinnän, joka poistaa käytöstä DDE-toiminnot Wordissa. Jos tarvitset edelleen tätä toimintoa, voit palauttaa tämän vaihtoehdon ottamalla käyttöön vanhat DDE-ominaisuudet.
Alkuperäinen korjaustiedosto kattoi kuitenkin vain Microsoft Wordin. Onko näitä DDE-haavoittuvuuksia muissa Microsoft Office -tuotteissa, joita voidaan myös hyödyntää koodittomissa hyökkäyksissä? Toki. Löydät ne myös esimerkiksi Excelistä.
Elävien yö DDE
Muistan, että viimeksi pysähdyin COM-skriptien kuvaukseen. Lupaan, että pääsen niihin myöhemmin tässä artikkelissa.
Katsotaan sillä välin DDE:n toista pahaa puolta Excel-versiossa. Aivan kuten Wordissa, jotkut DDE:n piilotetut ominaisuudet Excelissä voit suorittaa koodin ilman paljon vaivaa. Varttuneena Word-käyttäjänä tunsin kentät, mutta en ollenkaan DDE:n toiminnot.
Olin hämmästynyt kuullessani, että Excelissä voin kutsua komentotulkkia solusta alla olevan kuvan mukaisesti:
Tiesitkö, että tämä oli mahdollista? Henkilökohtaisesti en
Tämä mahdollisuus käynnistää Windows-kuori on DDE:n ansiosta. Voit ajatella monia muita asioita
Sovellukset, joihin voit muodostaa yhteyden Excelin sisäänrakennettujen DDE-toimintojen avulla.
Ajatteletko sinä samaa mitä minä ajattelen?
Anna solun sisäisen komennon aloittaa PowerShell-istunto, joka sitten lataa ja suorittaa linkin - tämä , jota olemme käyttäneet jo aiemmin. Katso alempaa:
Liitä vain pieni PowerShell ladataksesi ja suorittaaksesi etäkoodin Excelissä
Mutta siinä on saalis: sinun on syötettävä nämä tiedot soluun, jotta tämä kaava toimii Excelissä. Kuinka hakkeri voi suorittaa tämän DDE-komennon etänä? Tosiasia on, että kun Excel-taulukko on auki, Excel yrittää päivittää kaikki linkit DDE:ssä. Luottamuskeskuksen asetuksilla on pitkään ollut mahdollisuus poistaa tämä käytöstä tai varoittaa päivitettäessä linkkejä ulkoisiin tietolähteisiin.
Jopa ilman uusimpia korjaustiedostoja, voit poistaa automaattisen linkkien päivityksen käytöstä DDE:ssä
Microsoft alun perin itse Vuonna 2017 yritysten tulisi poistaa automaattiset linkkien päivitykset käytöstä DDE-haavoittuvuuksien estämiseksi Wordissa ja Excelissä. Tammikuussa 2018 Microsoft julkaisi Excel 2007:lle, 2010:lle ja 2013:lle korjaustiedostoja, jotka poistavat DDE:n oletusarvoisesti käytöstä. Tämä Computerworld kuvaa kaikki korjaustiedoston yksityiskohdat.
Entä tapahtumalokit?
Microsoft kuitenkin hylkäsi DDE:n MS Wordille ja Excelille, mikä lopulta myönsi, että DDE on enemmän kuin bugi kuin toiminnallisuus. Jos et jostain syystä ole vielä asentanut näitä korjaustiedostoja, voit silti vähentää DDE-hyökkäyksen riskiä poistamalla automaattiset linkkien päivitykset ja ottamalla käyttöön asetukset, jotka kehottavat käyttäjiä päivittämään linkkejä asiakirjoja ja laskentataulukoita avattaessa.
Nyt miljoonan dollarin kysymys: Jos olet tämän hyökkäyksen uhri, näkyvätkö Word-kentistä tai Excel-soluista käynnistetyt PowerShell-istunnot lokissa?
Kysymys: Kirjataanko DDE:n kautta käynnistetyt PowerShell-istunnot lokiin? Vastaus: kyllä
Kun suoritat PowerShell-istuntoja suoraan Excel-solusta makron sijaan, Windows kirjaa nämä tapahtumat lokiin (katso yllä). Samaan aikaan en voi väittää, että turvallisuustiimin olisi helppo yhdistää kaikki PowerShell-istunnon, Excel-dokumentin ja sähköpostiviestin väliset pisteet ja ymmärtää, mistä hyökkäys alkoi. Palaan tähän viimeisessä artikkelissani päättymättömästä vaikeasta haittaohjelmista kertovassa sarjassani.
Miten COM on?
Edellisessä Käsittelin COM-skriptien aihetta. Ne ovat sinänsä käteviä. , jonka avulla voit välittää koodia, esimerkiksi JScriptiä, yksinkertaisesti COM-objektina. Mutta sitten hakkerit löysivät komentosarjat, ja tämä antoi heille mahdollisuuden saada jalansijaa uhrin tietokoneella ilman tarpeettomia työkaluja. Tämä Derbyconista esittelee sisäänrakennettuja Windows-työkaluja, kuten regsrv32 ja rundll32, jotka hyväksyvät etäkomentosarjat argumentteina ja hakkerit suorittavat hyökkäyksensä käytännössä ilman haittaohjelmien apua. Kuten viime kerralla näytin, voit helposti suorittaa PowerShell-komentoja JScript-komentosarjan avulla.
Kävi ilmi, että yksi on erittäin älykäs löysi tavan suorittaa COM-komentosarja в Excel asiakirja. Hän huomasi, että kun hän yritti lisätä soluun linkin asiakirjaan tai kuvaan, siihen lisättiin tietty paketti. Ja tämä paketti hyväksyy hiljaa etäkomentosarjan syötteeksi (katso alla).
Puomi! Toinen salaperäinen, hiljainen tapa käynnistää komentotulkki COM-komentosarjoja käyttämällä
Matalatason kooditarkastuksen jälkeen tutkija sai selville, mikä se todella on vika paketin ohjelmistossa. Sen ei ollut tarkoitus ajaa COM-skriptejä, vaan vain linkittää tiedostoihin. En ole varma, onko tälle haavoittuvuudelle jo korjaustiedosto. Omassa tutkimuksessani, jossa käytin Amazon WorkSpacesia, joissa Office 2010 oli esiasennettu, pystyin toistamaan tulokset. Kuitenkin, kun yritin vähän myöhemmin uudelleen, se ei toiminut.
Toivon todella, että kerroin sinulle paljon mielenkiintoisia asioita ja samalla näytin, että hakkerit voivat tunkeutua yritykseesi tavalla tai toisella vastaavalla tavalla. Vaikka asentaisitkin kaikki uusimmat Microsoft-korjaukset, hakkereilla on silti monia työkaluja saada jalansijaa järjestelmässäsi VBA-makroista, joilla aloitin tämän sarjan, haitallisiin Wordin tai Excelin hyötykuormiin.
Tämän saagan viimeisessä (lupaan) artikkelissa puhun älykkään suojan tarjoamisesta.
Lähde: will.com