Tá an t-alt seo mar chuid den tsraith Fileless Malware. Gach cuid eile den tsraith:
- The Adventures of the Elusive Malware, Cuid IV: DDE agus Word Document Fields (tá muid anseo)
San Airteagal seo, bhí mé chun dul ag tumadh isteach i gcás ionsaí ilchéime gan comhaid níos casta fós le feannadh ar an gcóras. Ach ansin tháinig mé trasna ar ionsaí thar a bheith simplí, gan cód - ní raibh Macraí Word nó Excel ag teastáil! Agus cruthaíonn sé seo i bhfad níos éifeachtaí mo hipitéis bhunaidh mar bhun leis an tsraith alt seo: ní tasc deacair ar chor ar bith é imlíne sheachtrach aon eagraíochta a bhriseadh.
Baineann an chéad ionsaí a dhéanfaidh mé síos ar leochaileacht Microsoft Word atá bunaithe air as dáta (DDE). Bhí sí cheana féin . Baineann an dara ceann leas as leochaileacht níos ginearálta i Microsoft COM agus cumais aistrithe réad.
Ar ais go dtí an todhchaí le DDE
An cuimhin le duine ar bith eile DDE? Is dócha nach bhfuil go leor. Bhí sé ar cheann de na chéad prótacail chumarsáide idirphróisis a cheadaigh feidhmchláir agus gléasanna chun sonraí a aistriú.
Tá mé beagán eolach air féin mar ba ghnách liom trealamh teileachumarsáide a sheiceáil agus a thástáil. Ag an am sin, cheadaigh DDE, mar shampla, d’oibreoirí lárionad glaonna aitheantas an ghlaoiteora a aistriú chuig feidhmchlár CRM, a d’oscail cárta custaiméara ar deireadh thiar. Chun seo a dhéanamh, bhí ort cábla RS-232 a nascadh idir do ghuthán agus do ríomhaire. Sin iad na laethanta!
Mar a tharla sé, tá Microsoft Word fós DDE.
Is é an rud a fhágann go bhfuil an t-ionsaí seo éifeachtach gan cód ná gur féidir leat rochtain a fháil ar phrótacal DDE go díreach ó réimsí uathoibríocha i ndoiciméad Word (hats off to SensePost for faoi).
Cóid réimse Is gné ársa MS Word eile é a ligeann duit téacs dinimiciúil agus beagán cláir a chur le do dhoiciméad. Is é an sampla is soiléire ná an réimse uimhir leathanaigh, ar féidir é a chur isteach sa bhuntásc leis an luach {PAGE *MERGEFORMAT}. Ligeann sé seo uimhreacha leathanaigh a ghiniúint go huathoibríoch.
Leid: Is féidir leat an mhír roghchláir Field a fháil faoi Ionsáigh.
Is cuimhin liom nuair a fuair mé amach an ghné seo den chéad uair i Word, bhí ionadh orm. Agus go dtí go ndearna an paiste é a dhíchumasú, thacaigh Word fós leis an rogha réimsí DDE. Ba é an smaoineamh go gceadódh DDE do Word cumarsáid dhíreach a dhéanamh leis an bhfeidhmchlár, ionas go bhféadfadh sé aschur an chláir a chur ar aghaidh i gcáipéis. Teicneolaíocht an-óg a bhí ann ag an am sin - tacaíocht do mhalartú sonraí le feidhmchláir sheachtracha. Forbraíodh é ina theicneolaíocht COM níos déanaí, a bhreathnóimid thíos freisin.
Faoi dheireadh, thuig na hackers go bhféadfadh an t-iarratas DDE seo a bheith ina bhlaosc ordaithe, a sheol PowerShell ar ndóigh, agus as sin d'fhéadfadh na hackers cibé rud a theastaigh uathu a dhéanamh.
Taispeánann an screenshot thíos conas a d'úsáid mé an teicníc stealth seo: lódálann script PowerShell beag (dá ngairfear PS anseo feasta) ó réimse DDE script PS eile, a sheolann an dara céim den ionsaí.
Buíochas le Windows as an rabhadh pop-up go bhfuil an réimse DDEAUTO tógtha go rúnda ag iarraidh an bhlaosc a thosú
Is é an modh roghnaithe chun leas a bhaint as an leochaileacht ná malairt mhalairt a úsáid leis an réimse DDEAUTO, a ritheann an script go huathoibríoch ag oscailt Doiciméad Word.
Déanaimis smaoineamh ar cad is féidir linn a dhéanamh faoi seo.
Mar hacker novice, is féidir leat, mar shampla, r-phost fioscaireachta a sheoladh, ag ligean ort gur ón tSeirbhís Cánach Feidearálach thú, agus an réimse DDEAUTO a neadú leis an script PS don chéad chéim (dropper, go bunúsach). Agus ní gá duit fiú fíorchódú macraí, etc., a dhéanamh mar a rinne mé
Osclaíonn an t-íospartach do dhoiciméad, cuirtear an script leabaithe i ngníomh, agus críochnaíonn an hacker taobh istigh den ríomhaire. I mo chás, ní dhéanann an script PS iargúlta ach teachtaireacht a phriontáil, ach d'fhéadfadh sé an cliant PS Impireacht a sheoladh chomh héasca, rud a sholáthróidh rochtain iargúlta bhlaosc.
Agus sula mbeidh am ag an íospartach aon rud a rá, is iad na hackers na déagóirí is saibhre sa sráidbhaile.
Seoladh an bhlaosc gan a laghad códaithe. Is féidir le leanbh fiú é a dhéanamh!
DDE agus réimsí
Dhíchumasaigh Microsoft DDE i Word níos déanaí, ach níor luaigh an chuideachta go raibh mí-úsáid simplí déanta ar an ngné. Tá sé intuigthe go bhfuil drogall orthu rud ar bith a athrú. Le mo thaithí féin, tá sampla feicthe agam féin ina raibh sé ar chumas réimsí a nuashonrú nuair a bhí doiciméad á oscailt, ach bhí TF macraí Word díchumasaithe (ach fógra a thaispeáint). Dála an scéil, is féidir leat na socruithe comhfhreagracha a fháil sa rannóg socruithe Word.
Mar sin féin, fiú má tá nuashonrú réimse cumasaithe, cuireann Microsoft Word an t-úsáideoir ar an eolas freisin nuair a iarrann réimse rochtain ar shonraí scriosta, mar atá i gcás DDE thuas. Tá Microsoft ag tabhairt foláireamh duit i ndáiríre.
Ach is dócha go ndéanfaidh úsáideoirí neamhaird den rabhadh seo go fóill agus gníomhóidh siad nuashonrú na réimsí i Word. Seo ceann de na deiseanna is annamh chun buíochas a ghabháil le Microsoft as an ngné chontúirteach DDE a dhíchumasú.
Cé chomh deacair is atá sé córas Windows gan phasáil a aimsiú inniu?
Don tástáil seo, d'úsáid mé AWS Workspaces chun rochtain a fháil ar dheasc fíorúil. Ar an mbealach seo fuair mé meaisín fíorúil MS Office gan phasáil a thug deis dom réimse DDEAUTO a chur isteach. Níl aon amhras orm ach ar an gcaoi chéanna gur féidir leat teacht ar chuideachtaí eile nach bhfuil na paistí slándála riachtanacha suiteáilte acu go fóill.
Rúndiamhair na rudaí
Fiú má rinne tú an paiste seo a shuiteáil, tá poill slándála eile in MS Office a ligeann do hackers rud éigin an-chosúil leis an méid a rinneamar le Word a dhéanamh. Sa chéad chás eile beidh muid ag foghlaim úsáid Excel mar bhaoite le haghaidh ionsaí fioscaireachta gan aon chód a scríobh.
Chun an cás seo a thuiscint, déanaimis cuimhneamh ar Shamhail Oibiachta Comhpháirte Microsoft, nó go gearr COM (Samhail Oibiachta Comhpháirte).
Tá COM thart ó na 1990idí, agus sainmhínítear é mar "samhail chomhpháirte atá neodrach ó thaobh teanga de, bunaithe ar ghlaonna ciannós imeachta RPC. Chun tuiscint ghinearálta a fháil ar théarmaíocht COM, léigh ar StackOverflow.
Go bunúsach, is féidir leat smaoineamh ar iarratas COM mar inrite Excel nó Word, nó comhad dénártha éigin eile a ritheann.
Tarlaíonn sé gur féidir feidhmchlár COM a rith freisin cás — JavaScript nó VBScript. Go teicniúil tá sé ar a dtugtar scriptlet. B'fhéidir go bhfaca tú an síneadh .sct do chomhaid i Windows - is é seo an síneadh oifigiúil do scriptlets. Go bunúsach, is cód scripte iad atá fillte i bhfillteán XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Tá hackers agus pentesters tar éis a fháil amach go bhfuil fóntais agus feidhmchláir ar leith i Windows a ghlacann le réada COM agus, dá réir sin, scriptlets freisin.
Is féidir liom scriptlet a chur ar aghaidh chuig áirgiúlacht Windows atá scríofa i VBS ar a dtugtar pubprn. Tá sé suite i ndoimhneacht C: Windowssystem32Printing_Admin_Scripts. Dála an scéil, tá fóntais Windows eile ann a ghlacann rudaí mar pharaiméadair. Breathnaímid ar an sampla seo ar dtús.
Tá sé nádúrtha go leor gur féidir an bhlaosc a sheoladh fiú ó script priontála. Téigh Microsoft!
Mar thástáil, chruthaigh mé scriptlet cianda simplí a sheolann blaosc agus a phriontálann teachtaireacht ghreannmhar, "Tá tú díreach tar éis script a dhéanamh!" Go bunúsach, cuireann pubprn réad scriptlet ar an toirt, rud a ligeann do chód VBScript fillteán a rith. Soláthraíonn an modh seo buntáiste soiléir do hackers atá ag iarraidh a sneak isteach agus i bhfolach ar do chóras.
Sa chéad phost eile, míneoidh mé conas is féidir le hackers leas a bhaint as scriptlets COM ag baint úsáide as scarbhileoga Excel.
Chun do chuid obair bhaile, féach ó Derbycon 2016, a mhíníonn go díreach conas a d'úsáid hackers scriptlets. Agus léigh freisin faoi scriptlets agus monaiteoir de chineál éigin.
Foinse: will.com
