The Adventures of the Elusive Malware, Pàirt IV: DDE agus Word Document Fields (tha sinn an seo)
San artaigil seo, bha mi a’ dol a dhàibheadh a-steach do shuidheachadh ionnsaigh ioma-ìre eadhon nas iom-fhillte gun fhaidhle le pinning air an t-siostam. Ach an uairsin thàinig mi tarsainn air ionnsaigh iongantach sìmplidh, gun chòd - cha robh feum air macros Word no Excel! Agus tha seo a’ dearbhadh mòran nas èifeachdaiche a’ bharail thùsail a bha agam mar bhunait air an t-sreath artaigilean seo: chan e obair dhoirbh a th’ ann a bhith a’ briseadh iomall a-muigh buidheann sam bith.
Bidh a’ chiad ionnsaigh air an toir mi cunntas a’ gabhail brath air so-leòntachd Microsoft Word a tha stèidhichte air seann-fhasanta protocol iomlaid dàta fiùghantach (DDE). Bha i mu thràth stèidhichte. Tha an dàrna fear a’ gabhail brath air so-leòntachd nas fharsainge ann an Microsoft COM agus comasan gluasad stuthan.
Air ais gus an àm ri teachd le DDE
A bheil cuimhne aig duine sam bith eile air DDE? Is dòcha nach eil mòran. B’ e aon den chiad fheadhainn protocolaidhean conaltraidh eadar-phròiseas a leig le tagraidhean agus innealan dàta a ghluasad.
Tha mi rud beag eòlach air mi-fhìn oir b’ àbhaist dhomh a bhith a’ sgrùdadh agus a’ dèanamh deuchainn air uidheamachd cian-chonaltraidh. Aig an àm sin, thug DDE cead, mar eisimpleir, do ghnìomhaichean ionad gairm ID neach-fios a ghluasad gu tagradh CRM, a dh’ fhosgail cairt teachdaiche aig a’ cheann thall. Gus seo a dhèanamh, dh'fheumadh tu càball RS-232 a cheangal eadar am fòn agad agus do choimpiutair. B’ iad sin na làithean!
Mar a thionndaidh e, tha Microsoft Word fhathast a ’toirt taic DDE.
Is e an rud a tha a’ toirt an ionnsaigh seo èifeachdach às aonais còd gum faigh thu cothrom air protocol DDE gu dìreach bho raointean fèin-ghluasadach ann an sgrìobhainn Word (adan dheth gu SensePost airson rannsachadh agus foillseachaidhean mu dheidhinn).
Còdan achadh na seann fheart MS Word eile a leigeas leat teacsa fiùghantach agus beagan de phrògramadh a chur ris an sgrìobhainn agad. Is e an eisimpleir as fhollaisiche raon àireamh na duilleige, a ghabhas a chuir a-steach don bhun-stèidh leis an luach {PAGE * MERGEFORMAT}. Leigidh seo le àireamhan dhuilleagan a bhith air an gineadh gu fèin-obrachail.
Leud: Gheibh thu an rud clàr-taice Field fo Insert.
Tha cuimhne agam nuair a lorg mi am feart seo an toiseach ann am Word, chuir e iongnadh orm. Agus gus an do chuir am paiste à comas e, bha Word fhathast a’ toirt taic do roghainn raointean DDE. B’ e am beachd gun leigeadh DDE le Word conaltradh dìreach a dhèanamh ris an aplacaid, gus am b’ urrainn dha toradh a’ phrògraim a thoirt a-steach do phàipear. B 'e teicneòlas glè òg a bh' ann aig an àm sin - taic airson iomlaid dàta le tagraidhean bhon taobh a-muigh. Chaidh a leasachadh nas fhaide air adhart gu teicneòlas COM, air am bi sinn a’ coimhead gu h-ìosal cuideachd.
Mu dheireadh, thuig na hackers gum faodadh an tagradh DDE seo a bhith na shlige àithne, a chuir PowerShell air bhog gu dearbh, agus às an sin dh’ fhaodadh na hackers rud sam bith a bha iad ag iarraidh a dhèanamh.
Tha an dealbh-sgrìn gu h-ìosal a’ sealltainn mar a chleachd mi an dòigh stealth seo: bidh sgriobt PowerShell beag (ris an canar PS an-seo) bhon raon DDE a’ luchdachadh sgriobt PS eile, a chuireas air bhog an dàrna ìre den ionnsaigh.
Taing do Windows airson an rabhadh pop-up gu bheil an raon DDEAUTO a tha air a thogail a-steach gu dìomhair a’ feuchainn ris an t-slige a thòiseachadh
Is e an dòigh as fheàrr air brath a ghabhail air so-leòntachd a bhith a’ cleachdadh caochladair leis an raon DDEAUTO, a ruitheas an sgriobt gu fèin-ghluasadach. nuair a dh'fhosglas Sgrìobhainn facal.
Feuch gun smaoinich sinn air dè as urrainn dhuinn a dhèanamh mu dheidhinn seo.
Mar neach-tarraing ùr, faodaidh tu, mar eisimpleir, post-d phishing a chuir, a’ leigeil a-mach gur ann bhon t-Seirbheis Cìsean Feadarail a tha thu, agus cuir a-steach raon DDEAUTO leis an sgriobt PS airson a’ chiad ìre (dropper, gu bunaiteach). Agus chan fheum thu eadhon fìor chòdachadh macros, msaa, mar a rinn mi a-staigh artaigil roimhe.
Bidh an neach-fulang a’ fosgladh do phàipear, tha an sgriobt freumhaichte air a ghnìomhachadh, agus thig an neach-tarraing gu crìch am broinn a’ choimpiutair. Anns a ’chùis agam, tha an sgriobt PS iomallach dìreach a’ clò-bhualadh teachdaireachd, ach dh ’fhaodadh e a cheart cho furasta an teachdaiche PS Empire a chuir air bhog, a bheir ruigsinneachd shligean iomallach.
Agus mus bi ùine aig an neach-fulang dad a ràdh, tionndaidhidh na hackers gu bhith nan deugairean as beairtiche sa bhaile.
Chaidh an t-slige a chuir air bhog gun a’ bheag de chòdadh. Faodaidh eadhon leanabh seo a dhèanamh!
DDE agus raointean
Às deidh sin chuir Microsoft à comas DDE ann am Word, ach chan ann mus do dh’ innis a’ chompanaidh gu robh am feart dìreach air a mhì-chleachdadh. Tha an leisg airson rud sam bith atharrachadh furasta a thuigsinn. Anns an eòlas agam, tha mi fhìn air eisimpleir fhaicinn far an robh e comasach raointean ùrachadh nuair a chaidh sgrìobhainn fhosgladh, ach chaidh macros Word a chiorramachadh le IT (ach a’ sealltainn fios). Air an t-slighe, gheibh thu na roghainnean co-fhreagarrach anns an roinn roghainnean Word.
Ach, eadhon ged a tha ùrachadh làraich air a chomasachadh, bheir Microsoft Word fios don neach-cleachdaidh cuideachd nuair a dh’ iarras raon ruigsinneachd air dàta a chaidh a dhubhadh às, mar a tha fìor le DDE gu h-àrd. Tha Microsoft dha-rìribh a’ toirt rabhadh dhut.
Ach is coltaiche, bheir luchd-cleachdaidh seachad an rabhadh seo fhathast agus cuiridh iad an gnìomh ùrachadh nan raointean ann am Word. Is e seo aon de na cothroman ainneamh airson taing a thoirt do Microsoft airson am feart cunnartach DDE a chuir dheth.
Dè cho duilich ‘s a tha e siostam Windows gun lorg a lorg an-diugh?
Airson an deuchainn seo, chleachd mi AWS Workspaces gus faighinn gu deasg brìgheil. San dòigh seo fhuair mi inneal brìgheil MS Office gun atharrachadh a leig leam an raon DDEAUTO a chuir a-steach. Chan eil teagamh sam bith agam gun lorg thu san aon dòigh companaidhean eile nach do chuir a-steach na pìosan tèarainteachd riatanach fhathast.
Dìomhaireachd nan nithean
Eadhon ged a chuir thu a-steach am bad seo, tha tuill tèarainteachd eile ann an MS Office a leigeas le luchd-hackers rudeigin a dhèanamh glè choltach ris na rinn sinn le Word. Anns an ath shuidheachadh ionnsaichidh sinn cleachd Excel mar bhiathadh airson ionnsaigh fiasgaich gun a bhith a’ sgrìobhadh còd sam bith.
Gus an suidheachadh seo a thuigsinn, cuimhnichidh sinn Modail Rud Co-phàirteach Microsoft, no gu h-aithghearr COM (Modal Rud Co-phàirteach).
Tha COM air a bhith timcheall bho na 1990n, agus tha e air a mhìneachadh mar “modail co-phàirt a tha neo-phàirteach a thaobh cànan” stèidhichte air fiosan modh-obrach iomallach RPC. Airson tuigse choitcheann air briathrachas COM, leugh am post seo air StackOverflow.
Gu bunaiteach, faodaidh tu smaoineachadh air tagradh COM mar Excel no Word a ghabhas coileanadh, no faidhle dà-chànanach eile a bhios a’ ruith.
Tha e coltach gum faod tagradh COM ruith cuideachd an sgriobt - JavaScript no VBScript. Gu teicnigeach tha e air a ghairm sgriobtar. Is dòcha gum faca tu an leudachadh .sct airson faidhlichean ann an Windows - is e seo an leudachadh oifigeil airson sgriobtaichean. Gu bunaiteach, is e còd sgriobta a th’ annta air am pasgadh ann am pasgan XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Tha hackers agus pentesters air faighinn a-mach gu bheil goireasan agus tagraidhean fa-leth ann an Windows a tha a’ gabhail ri nithean COM agus, a rèir sin, sgriobtaichean cuideachd.
Is urrainn dhomh sgriobt a chuir gu goireas Windows sgrìobhte ann an VBS ris an canar pubprn. Tha e suidhichte ann an doimhneachd C: Windowssystem32Printing_Admin_Scripts. Co-dhiù, tha goireasan Windows eile ann a tha a’ gabhail ri nithean mar pharaimearan. Bheir sinn sùil air an eisimpleir seo an toiseach.
Tha e gu math nàdarra gum faodar an t-slige a chuir air bhog eadhon bho sgriobt clò. Rach gu Microsoft!
Mar dheuchainn, chruthaich mi sgriobt sìmplidh iomallach a bhios a’ cur slige air bhog agus a’ clò-bhualadh teachdaireachd èibhinn, “Tha thu dìreach air do sgrìobhadh!” Gu bunaiteach, bidh pubprn a ’toirt air adhart rud scriptlet, a’ leigeil le còd VBScript pasgan a ruith. Tha an dòigh seo a’ toirt buannachd shoilleir dha hackers a tha airson a dhol a-steach agus falach air an t-siostam agad.
Anns an ath phost, mìnichidh mi mar as urrainn do luchd-hackers brath a ghabhail air sgriobtaichean COM a ’cleachdadh duilleagan-clèithe Excel.
Airson an obair-dachaigh agad, thoir sùil a ’bhidio seo bho Derbycon 2016, a tha a’ mìneachadh dìreach mar a chleachd hackers sgriobtaichean. Agus leugh cuideachd an artaigil seo mu sgriobtaichean agus seòrsa de mhion-sgrùdadh.