Tha an artaigil seo mar phĂ irt den t-sreath Fileless Malware. A h-uile pĂ irt eile den t-sreath:
- The Adventures of the Elusive Malware, PĂ irt IV: DDE agus Word Document Fields (tha sinn an seo)
San artaigil seo, bha mi aâ dol a dhĂ ibheadh ââââa-steach do shuidheachadh ionnsaigh ioma-ĂŹre eadhon nas iom-fhillte gun fhaidhle le pinning air an t-siostam. Ach an uairsin thĂ inig mi tarsainn air ionnsaigh iongantach sĂŹmplidh, gun chòd - cha robh feum air macros Word no Excel! Agus tha seo aâ dearbhadh mòran nas èifeachdaiche aâ bharail thĂšsail a bha agam mar bhunait air an t-sreath artaigilean seo: chan e obair dhoirbh a thâ ann a bhith aâ briseadh iomall a-muigh buidheann sam bith.
Bidh aâ chiad ionnsaigh air an toir mi cunntas aâ gabhail brath air so-leòntachd Microsoft Word a tha stèidhichte air seann-fhasanta (DDE). Bha i mu thrĂ th . Tha an dĂ rna fear aâ gabhail brath air so-leòntachd nas fharsainge ann an Microsoft COM agus comasan gluasad stuthan.
Air ais gus an Ă m ri teachd le DDE
A bheil cuimhne aig duine sam bith eile air DDE? Is dòcha nach eil mòran. Bâ e aon den chiad fheadhainn protocolaidhean conaltraidh eadar-phròiseas a leig le tagraidhean agus innealan dĂ ta a ghluasad.
Tha mi rud beag eòlach air mi-fhĂŹn oir bâ Ă bhaist dhomh a bhith aâ sgrĂšdadh agus aâ dèanamh deuchainn air uidheamachd cian-chonaltraidh. Aig an Ă m sin, thug DDE cead, mar eisimpleir, do ghnĂŹomhaichean ionad gairm ID neach-fios a ghluasad gu tagradh CRM, a dhâ fhosgail cairt teachdaiche aig aâ cheann thall. Gus seo a dhèanamh, dh'fheumadh tu cĂ ball RS-232 a cheangal eadar am fòn agad agus do choimpiutair. Bâ iad sin na lĂ ithean!
Mar a thionndaidh e, tha Microsoft Word fhathast DDE.
Is e an rud a tha aâ toirt an ionnsaigh seo èifeachdach Ă s aonais còd gum faigh thu cothrom air protocol DDE gu dĂŹreach bho raointean fèin-ghluasadach ann an sgrĂŹobhainn Word (adan dheth gu SensePost airson mu dheidhinn).
Còdan achadh na seann fheart MS Word eile a leigeas leat teacsa fiÚghantach agus beagan de phrògramadh a chur ris an sgrÏobhainn agad. Is e an eisimpleir as fhollaisiche raon à ireamh na duilleige, a ghabhas a chuir a-steach don bhun-stèidh leis an luach {PAGE * MERGEFORMAT}. Leigidh seo le à ireamhan dhuilleagan a bhith air an gineadh gu fèin-obrachail.
Leud: Gheibh thu an rud clĂ r-taice Field fo Insert.
Tha cuimhne agam nuair a lorg mi am feart seo an toiseach ann am Word, chuir e iongnadh orm. Agus gus an do chuir am paiste Ă comas e, bha Word fhathast aâ toirt taic do roghainn raointean DDE. Bâ e am beachd gun leigeadh DDE le Word conaltradh dĂŹreach a dhèanamh ris an aplacaid, gus am bâ urrainn dha toradh aâ phrògraim a thoirt a-steach do phĂ ipear. B 'e teicneòlas glè òg a bh' ann aig an Ă m sin - taic airson iomlaid dĂ ta le tagraidhean bhon taobh a-muigh. Chaidh a leasachadh nas fhaide air adhart gu teicneòlas COM, air am bi sinn aâ coimhead gu h-ĂŹosal cuideachd.
Mu dheireadh, thuig na hackers gum faodadh an tagradh DDE seo a bhith na shlige Ă ithne, a chuir PowerShell air bhog gu dearbh, agus Ă s an sin dhâ fhaodadh na hackers rud sam bith a bha iad ag iarraidh a dhèanamh.
Tha an dealbh-sgrĂŹn gu h-ĂŹosal aâ sealltainn mar a chleachd mi an dòigh stealth seo: bidh sgriobt PowerShell beag (ris an canar PS an-seo) bhon raon DDE aâ luchdachadh sgriobt PS eile, a chuireas air bhog an dĂ rna ĂŹre den ionnsaigh.
Taing do Windows airson an rabhadh pop-up gu bheil an raon DDEAUTO a tha air a thogail a-steach gu dĂŹomhair aâ feuchainn ris an t-slige a thòiseachadh
Is e an dòigh as fheĂ rr air brath a ghabhail air so-leòntachd a bhith aâ cleachdadh caochladair leis an raon DDEAUTO, a ruitheas an sgriobt gu fèin-ghluasadach. nuair a dh'fhosglas SgrĂŹobhainn facal.
Feuch gun smaoinich sinn air dè as urrainn dhuinn a dhèanamh mu dheidhinn seo.
Mar neach-tarraing Ăšr, faodaidh tu, mar eisimpleir, post-d phishing a chuir, aâ leigeil a-mach gur ann bhon t-Seirbheis CĂŹsean Feadarail a tha thu, agus cuir a-steach raon DDEAUTO leis an sgriobt PS airson aâ chiad ĂŹre (dropper, gu bunaiteach). Agus chan fheum thu eadhon fĂŹor chòdachadh macros, msaa, mar a rinn mi a-staigh
Bidh an neach-fulang aâ fosgladh do phĂ ipear, tha an sgriobt freumhaichte air a ghnĂŹomhachadh, agus thig an neach-tarraing gu crĂŹch am broinn aâ choimpiutair. Anns a âchĂšis agam, tha an sgriobt PS iomallach dĂŹreach aâ clò-bhualadh teachdaireachd, ach dh âfhaodadh e a cheart cho furasta an teachdaiche PS Empire a chuir air bhog, a bheir ruigsinneachd shligean iomallach.
Agus mus bi Ăšine aig an neach-fulang dad a rĂ dh, tionndaidhidh na hackers gu bhith nan deugairean as beairtiche sa bhaile.
Chaidh an t-slige a chuir air bhog gun aâ bheag de chòdadh. Faodaidh eadhon leanabh seo a dhèanamh!
DDE agus raointean
Ăs deidh sin chuir Microsoft Ă comas DDE ann am Word, ach chan ann mus do dhâ innis aâ chompanaidh gu robh am feart dĂŹreach air a mhĂŹ-chleachdadh. Tha an leisg airson rud sam bith atharrachadh furasta a thuigsinn. Anns an eòlas agam, tha mi fhĂŹn air eisimpleir fhaicinn far an robh e comasach raointean Ăšrachadh nuair a chaidh sgrĂŹobhainn fhosgladh, ach chaidh macros Word a chiorramachadh le IT (ach aâ sealltainn fios). Air an t-slighe, gheibh thu na roghainnean co-fhreagarrach anns an roinn roghainnean Word.
Ach, eadhon ged a tha Ăšrachadh lĂ raich air a chomasachadh, bheir Microsoft Word fios don neach-cleachdaidh cuideachd nuair a dhâ iarras raon ruigsinneachd air dĂ ta a chaidh a dhubhadh Ă s, mar a tha fĂŹor le DDE gu h-Ă rd. Tha Microsoft dha-rĂŹribh aâ toirt rabhadh dhut.
Ach is coltaiche, bheir luchd-cleachdaidh seachad an rabhadh seo fhathast agus cuiridh iad an gnĂŹomh Ăšrachadh nan raointean ann am Word. Is e seo aon de na cothroman ainneamh airson taing a thoirt do Microsoft airson am feart cunnartach DDE a chuir dheth.
Dè cho duilich âs a tha e siostam Windows gun lorg a lorg an-diugh?
Airson an deuchainn seo, chleachd mi AWS Workspaces gus faighinn gu deasg brÏgheil. San dòigh seo fhuair mi inneal brÏgheil MS Office gun atharrachadh a leig leam an raon DDEAUTO a chuir a-steach. Chan eil teagamh sam bith agam gun lorg thu san aon dòigh companaidhean eile nach do chuir a-steach na pÏosan tèarainteachd riatanach fhathast.
DĂŹomhaireachd nan nithean
Eadhon ged a chuir thu a-steach am bad seo, tha tuill tèarainteachd eile ann an MS Office a leigeas le luchd-hackers rudeigin a dhèanamh glè choltach ris na rinn sinn le Word. Anns an ath shuidheachadh ionnsaichidh sinn cleachd Excel mar bhiathadh airson ionnsaigh fiasgaich gun a bhith aâ sgrĂŹobhadh còd sam bith.
Gus an suidheachadh seo a thuigsinn, cuimhnichidh sinn Modail Rud Co-phĂ irteach Microsoft, no gu h-aithghearr COM (Modal Rud Co-phĂ irteach).
Tha COM air a bhith timcheall bho na 1990n, agus tha e air a mhĂŹneachadh mar âmodail co-phĂ irt a tha neo-phĂ irteach a thaobh cĂ nanâ stèidhichte air fiosan modh-obrach iomallach RPC. Airson tuigse choitcheann air briathrachas COM, leugh air StackOverflow.
Gu bunaiteach, faodaidh tu smaoineachadh air tagradh COM mar Excel no Word a ghabhas coileanadh, no faidhle dĂ -chĂ nanach eile a bhios aâ ruith.
Tha e coltach gum faod tagradh COM ruith cuideachd an sgriobt - JavaScript no VBScript. Gu teicnigeach tha e air a ghairm sgriobtar. Is dòcha gum faca tu an leudachadh .sct airson faidhlichean ann an Windows - is e seo an leudachadh oifigeil airson sgriobtaichean. Gu bunaiteach, is e còd sgriobta a thâ annta air am pasgadh ann am pasgan XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Tha hackers agus pentesters air faighinn a-mach gu bheil goireasan agus tagraidhean fa-leth ann an Windows a tha aâ gabhail ri nithean COM agus, a rèir sin, sgriobtaichean cuideachd.
Is urrainn dhomh sgriobt a chuir gu goireas Windows sgrĂŹobhte ann an VBS ris an canar pubprn. Tha e suidhichte ann an doimhneachd C: Windowssystem32Printing_Admin_Scripts. Co-dhiĂš, tha goireasan Windows eile ann a tha aâ gabhail ri nithean mar pharaimearan. Bheir sinn sĂšil air an eisimpleir seo an toiseach.
Tha e gu math nà darra gum faodar an t-slige a chuir air bhog eadhon bho sgriobt clò. Rach gu Microsoft!
Mar dheuchainn, chruthaich mi sgriobt sĂŹmplidh iomallach a bhios aâ cur slige air bhog agus aâ clò-bhualadh teachdaireachd èibhinn, âTha thu dĂŹreach air do sgrĂŹobhadh!â Gu bunaiteach, bidh pubprn a âtoirt air adhart rud scriptlet, aâ leigeil le còd VBScript pasgan a ruith. Tha an dòigh seo aâ toirt buannachd shoilleir dha hackers a tha airson a dhol a-steach agus falach air an t-siostam agad.
Anns an ath phost, mĂŹnichidh mi mar as urrainn do luchd-hackers brath a ghabhail air sgriobtaichean COM a âcleachdadh duilleagan-clèithe Excel.
Airson an obair-dachaigh agad, thoir sĂšil bho Derbycon 2016, a tha aâ mĂŹneachadh dĂŹreach mar a chleachd hackers sgriobtaichean. Agus leugh cuideachd mu sgriobtaichean agus seòrsa de mhion-sgrĂšdadh.
Source: www.habr.com
