Tha an artaigil seo mar phàirt den t-sreath Fileless Malware. A h-uile pàirt eile den t-sreath:
- (tha sinn an seo)
Anns an t-sreath artaigilean seo, bidh sinn a ’sgrùdadh dhòighean ionnsaigh a dh’ fheumas glè bheag de oidhirp bho luchd-hackers. San àm a dh'fhalbh Tha sinn air còmhdach gu bheil e comasach an còd fhèin a chuir a-steach don uallach pàighidh autofield DDE ann am Microsoft Word. Le bhith a’ fosgladh sgrìobhainn mar seo a tha ceangailte ri post-d fiasgaich, leigidh neach-cleachdaidh neo-fhaiceallach leis an neach-ionnsaigh grèim fhaighinn air a’ choimpiutair aige. Ach, aig deireadh 2017, Microsoft an beàrn seo airson ionnsaighean air DDE.
Bidh an rèiteachadh a’ cur a-steach inntrigeadh clàraidh a chuireas à comas Feartan DDE ann am Focal. Ma tha feum agad air a’ ghoireas seo fhathast, faodaidh tu an roghainn seo a thilleadh le bhith a’ comasachadh seann chomasan DDE.
Ach, cha do chòmhdaich am paiste tùsail ach Microsoft Word. A bheil na so-leòntachd DDE seo ann am bathar Microsoft Office eile a dh’ fhaodadh a bhith air an cleachdadh ann an ionnsaighean gun chòd? Seadh, cinnteach. Mar eisimpleir, gheibh thu iad cuideachd ann an Excel.
Oidhche nam Beò DDE
Tha cuimhne agam an turas mu dheireadh a stad mi aig an tuairisgeul air sgriobtaichean COM. Tha mi a’ gealltainn gum faigh mi thuca nas fhaide air adhart san artaigil seo.
Anns an eadar-ama, leig dhuinn sùil a thoirt air taobh olc eile de DDE anns an dreach Excel. Dìreach mar ann am Word, cuid feartan falaichte DDE ann an Excel leigeil leat còd a chuir an gnìomh gun mòran oidhirp. Mar neach-cleachdaidh Word a dh'fhàs suas, bha mi eòlach air na raointean, ach cha robh mi idir mu na gnìomhan ann an DDE.
Chuir e iongnadh orm a bhith ag ionnsachadh gun urrainn dhomh slige a ghairm bho chill ann an Excel mar a chithear gu h-ìosal:
An robh fios agad gun robh seo comasach? Gu pearsanta, chan eil mi
Tha an comas seo airson slige Windows a chuir air bhog le cead bho DDE. Faodaidh tu smaoineachadh air tòrr rudan eile
Iarrtasan as urrainn dhut ceangal a dhèanamh riutha le bhith a’ cleachdadh gnìomhan DDE togte Excel.
A bheil thu a’ smaoineachadh an aon rud a tha mi a’ smaoineachadh?
Leig leis an àithne in-chill againn seisean PowerShell a thòiseachadh a bhios an uairsin a ’luchdachadh sìos agus a’ cur an gnìomh a ’cheangal - seo , a chleachd sinn mu thràth. Faic gu h-ìosal:
Dìreach cuir a-steach beagan PowerShell gus còd iomallach a luchdachadh agus a ruith ann an Excel
Ach tha grèim ann: feumaidh tu an dàta seo a chuir a-steach don chill gu soilleir airson am foirmle seo obrachadh ann an Excel. Ciamar as urrainn do neach-tarraing an àithne DDE seo a chuir an gnìomh air astar? Is e an fhìrinn, nuair a bhios clàr Excel fosgailte, feuchaidh Excel ris na ceanglaichean gu lèir ann an DDE ùrachadh. Tha comas air a bhith aig suidheachaidhean Ionad an Urrais o chionn fhada seo a chuir à comas no rabhadh a thoirt nuair a bhios iad ag ùrachadh cheanglaichean gu stòran dàta bhon taobh a-muigh.
Fiù ‘s às aonais na pìosan as ùire, faodaidh tu ùrachadh ceangail fèin-ghluasadach a chuir dheth ann an DDE
Microsoft fhèin bho thùs Bu chòir do chompanaidhean ann an 2017 ùrachaidhean ceangail fèin-ghluasadach a chuir dheth gus casg a chuir air so-leòntachd DDE ann am Word agus Excel. Anns an Fhaoilleach 2018, leig Microsoft a-mach pìosan airson Excel 2007, 2010 agus 2013 a chuir à comas DDE gu bunaiteach. Seo Tha Computerworld a’ toirt cunntas air a h-uile mion-fhiosrachadh mun phaiste.
Uill, dè mu dheidhinn logaichean tachartais?
Ach a dh’ aindeoin sin thrèig Microsoft DDE airson MS Word agus Excel, agus mar sin mu dheireadh ag aithneachadh gu bheil DDE nas coltaiche ri bug na comas-gnìomh. Mura h-eil thu air na pìosan sin a chuir a-steach fhathast airson adhbhar air choireigin, faodaidh tu fhathast an cunnart bho ionnsaigh DDE a lughdachadh le bhith a’ cuir à comas ùrachaidhean ceangail fèin-ghluasadach agus a’ comasachadh roghainnean a bhrosnaicheas luchd-cleachdaidh ceanglaichean ùrachadh nuair a dh’ fhosglas tu sgrìobhainnean agus duilleagan-clèithe.
A-nis a ’cheist millean dolar: Ma dh’ fhuiling thu an ionnsaigh seo, am bi seiseanan PowerShell air an cur air bhog bho raointean Word no ceallan Excel a ’nochdadh sa log?
Ceist: A bheil seiseanan PowerShell air an cur air bhog tro DDE clàraichte? Freagairt: tha
Nuair a ruitheas tu seiseanan PowerShell gu dìreach bho chealla Excel seach mar macro, logaidh Windows na tachartasan sin (faic gu h-àrd). Aig an aon àm, chan urrainn dhomh a ràdh gum bi e furasta don sgioba tèarainteachd na dotagan gu lèir a cheangal eadar seisean PowerShell, an sgrìobhainn Excel agus an teachdaireachd post-d agus tuigsinn far an do thòisich an ionnsaigh. Thig mi air ais gu seo san artaigil mu dheireadh anns an t-sreath gun stad agam air an malware so-ruigsinneach.
Ciamar a tha ar COM?
Anns an roimhe Bhruidhinn mi air cuspair sgriobtaichean COM. Tha iad goireasach annta fhèin. , a leigeas leat còd a chuir seachad, abair JScript, dìreach mar nì COM. Ach an uairsin chaidh na sgriobtaichean a lorg le luchd-hackers, agus leig seo leotha grèim fhaighinn air coimpiutair an neach-fulang gun a bhith a’ cleachdadh innealan neo-riatanach. Seo bho Derbycon a’ taisbeanadh innealan Windows togte leithid regsrv32 agus rundll32 a bhios a’ gabhail ri sgriobtaichean iomallach mar argamaidean, agus bidh hackers gu bunaiteach a’ dèanamh an ionnsaigh gun chuideachadh bho malware. Mar a sheall mi an turas mu dheireadh, is urrainn dhut òrdughan PowerShell a ruith gu furasta a’ cleachdadh sgriobt JScript.
Thionndaidh e a-mach gu bheil fear gu math spaideil lorg dòigh air sgriobt COM a ruith в Sgrìobhainn Excel. Fhuair e a-mach, nuair a dh’ fheuch e ri ceangal ri sgrìobhainn no dealbh a chuir a-steach do chill, chaidh pasgan sònraichte a chuir a-steach ann. Agus tha am pasgan seo gu sàmhach a’ gabhail ri sgriobtaichean iomallach mar chur-a-steach (faic gu h-ìosal).
Boom! Dòigh stealth, sàmhach eile airson slige a chuir air bhog a’ cleachdadh sgriobtaichean COM
Às deidh sgrùdadh còd ìre ìosal, fhuair an neach-rannsachaidh a-mach dè a th’ ann dha-rìribh buga ann am bathar-bog pacaid. Cha robh e an dùil sgriobtaichean COM a ruith, ach dìreach airson ceangal ri faidhlichean. Chan eil mi cinnteach a bheil bad ann mu thràth airson an so-leòntachd seo. Anns an sgrùdadh agam fhìn a’ cleachdadh Amazon WorkSpaces le Office 2010 ro-stàlaichte, bha e comasach dhomh na toraidhean ath-riochdachadh. Ach, nuair a dh’ fheuch mi a-rithist beagan às deidh sin, cha do dh’ obraich e.
Tha mi dha-rìribh an dòchas gun do dh’ innis mi tòrr rudan inntinneach dhut agus aig an aon àm sheall mi gum faod luchd-hackers a dhol a-steach don chompanaidh agad ann an aon dòigh no dòigh eile. Eadhon ged a stàlaicheas tu na pìosan Microsoft as ùire, tha mòran innealan fhathast aig luchd-hackers gus faighinn a-steach don t-siostam agad, bho na macros VBA a thòisich mi air an t-sreath seo gu luchdan pàighidh droch-rùnach ann am Word no Excel.
Anns an artaigil mu dheireadh (tha mi a 'gealltainn) anns an t-saga seo, bruidhnidh mi mu mar a bheir mi seachad dìon snasail.
Source: www.habr.com