He ʻāpana kēia ʻatikala o ka moʻo Fileless Malware. ʻO nā ʻāpana ʻē aʻe a pau o ka moʻo:
- ʻO ka Adventures of the Elusive Malware, Māhele IV: DDE a me Word Document Fields (eia mākou)
Ma kēia ʻatikala, e hele ana au e luʻu i kahi ʻano hoʻouka kaua fileless multi-stage ʻoi aku ka paʻakikī me ka paʻi ʻana i ka ʻōnaehana. Akā, ua loaʻa iaʻu kahi hoʻouka kaua maʻalahi, ʻaʻohe code-ʻaʻohe huaʻōlelo a i ʻole Excel macros pono! A ʻoi aku ka maikaʻi o kēia i kaʻu kuhiakau mua e pili ana i kēia pūʻulu ʻatikala: ʻaʻole he hana paʻakikī ka haki ʻana i ka ʻaoʻao o waho o kekahi hui.
ʻO ka hoʻouka kaua mua aʻu e wehewehe ai e hoʻohana i kahi nāwaliwali o Microsoft Word i hoʻokumu ʻia ma kahiko loa (DDE). Ua hala ʻo ia . Hoʻohana ka lua i kahi nāwaliwali maʻamau i Microsoft COM a me nā mea hiki ke hoʻololi.
E hoʻi i ka wā e hiki mai ana me DDE
Ke hoʻomanaʻo nei kekahi iā DDE? ʻAʻole nui paha. ʻO ia kekahi o nā mea mua nā protocols kamaʻilio inter-process i ʻae i nā noi a me nā mea hana e hoʻoili i ka ʻikepili.
Maʻa iki wau iaʻu iho no ka mea maʻa wau e nānā a hoʻāʻo i nā lako kelepona. I kēlā manawa, ua ʻae ʻo DDE, no ka laʻana, nā mea kelepona kelepona e hoʻololi i ka ID kelepona i kahi noi CRM, ka mea i wehe hope i kahi kāleka mea kūʻai aku. No ka hana ʻana i kēia, pono ʻoe e hoʻopili i kahi kaula RS-232 ma waena o kāu kelepona a me kāu kamepiula. ʻO ia nā lā!
E like me ka mea i ʻike ʻia, aia nō ʻo Microsoft Word DDE.
He aha ka hopena o kēia hoʻouka kaua me ka ʻole o ke code hiki iā ʻoe ke komo i ka protocol DDE pololei mai nā kahua ʻakomi ma kahi palapala Word (mau pāpale iā SensePost no e pili ana ia mea).
Nā code kahua ʻO ia kekahi hiʻohiʻona MS Word kahiko e hiki ai iā ʻoe ke hoʻohui i nā kikokikona ikaika a me kahi ʻano papahana i kāu palapala. ʻO ka laʻana maopopo loa ʻo ia ke kahua helu ʻaoʻao, hiki ke hoʻokomo ʻia i ka wāwae wāwae me ka hoʻohana ʻana i ka waiwai {PAGE *MERGEFORMAT}. ʻAe kēia i nā helu ʻaoʻao e hana maʻalahi.
Manaʻo: Hiki iā ʻoe ke loaʻa i ka papa kuhikuhi Field ma lalo o Insert.
Ke hoʻomanaʻo nei au i koʻu ʻike mua ʻana i kēia hiʻohiʻona ma Word, kahaha wau. A hiki i ka hoʻopau ʻana o ka patch, kākoʻo mau ʻo Word i ke koho māla DDE. ʻO ka manaʻo e ʻae ʻo DDE iā Word e kamaʻilio pololei me ka palapala noi, i hiki iā ia ke hoʻolilo i ka hopena o ka papahana i kahi palapala. He ʻenehana ʻōpiopio loa ia i kēlā manawa - kākoʻo no ka hoʻololi ʻikepili me nā noi waho. Ua hoʻomohala ʻia ma hope i ka ʻenehana COM, a mākou e nānā ai ma lalo.
I ka hopena, ua ʻike ka poʻe hackers hiki i kēia noi DDE ke kauoha i ka shell, ʻoiaʻiʻo, ua hoʻokuʻu ʻia ʻo PowerShell, a mai laila e hiki ai i nā hackers ke hana i nā mea a lākou e makemake ai.
Hōʻike ka paʻi kiʻi ma lalo nei i koʻu hoʻohana ʻana i kēia ʻenehana hoʻopunipuni: kahi palapala PowerShell liʻiliʻi (i kapa ʻia ʻo PS) mai ke kahua DDE e hoʻouka i kahi palapala PS hou, e hoʻomaka ana i ka lua o ka hoʻouka ʻana.
Mahalo iā Windows no ka ʻōlelo aʻo pop-up e hoʻāʻo malū nei ka māla DDEAUTO i kūkulu ʻia e hoʻomaka i ka pūpū
ʻO ke ala i makemake ʻia no ka hoʻohana ʻana i ka nāwaliwali, ʻo ia ka hoʻohana ʻana i kahi ʻano like ʻole me ke kahua DDEAUTO, ka mea e holo aunoa i ka palapala. i ka wehe ana Palapala huaʻōlelo.
E noʻonoʻo kākou i ka mea hiki iā kākou ke hana no kēia.
Ma keʻano he hacker novice, hiki iā ʻoe, no ka laʻana, e hoʻouna i kahi leka uila phishing, e hoʻohālike ana ʻoe mai ka Federal Tax Service, a hoʻokomo i ka māla DDEAUTO me ka palapala PS no ka pae mua (he dropper, ʻoiaʻiʻo). A ʻaʻole pono ʻoe e hana i kekahi coding maoli o nā macros, etc., e like me kaʻu i hana ai
Wehe ka mea i hoʻopaʻi ʻia i kāu palapala, hoʻāla ʻia ka palapala i hoʻopili ʻia, a pau ka mea hacker i loko o ke kamepiula. I koʻu hihia, paʻi wale ka palapala PS mamao i kahi memo, akā hiki iā ia ke hoʻomaka maʻalahi i ka mea kūʻai aku ʻo PS Empire, e hāʻawi i ke komo ʻana i ka shell mamao.
A ma mua o ka loaʻa ʻana o ka manawa e haʻi aku ai ka poʻe hacker i nā ʻōpio waiwai loa ma ke kauhale.
Hoʻokuʻu ʻia ka pūpū me ka ʻole o ka coding iki. Hiki i ke keiki ke hana!
DDE a me nā kahua
Ua hoʻopau ʻo Microsoft i ka DDE ma Word, akā ʻaʻole ma mua o ka ʻōlelo ʻana o ka hui ua hoʻohana hewa ʻia ka hiʻohiʻona. Hoʻomaopopo ʻia ko lākou makemake ʻole e hoʻololi i kekahi mea. I koʻu ʻike, ua ʻike wau i kahi laʻana kahi e hoʻonui ai i nā kahua i ka wā e wehe ai i kahi palapala, akā ua pio nā Word macros e IT (akā e hōʻike ana i kahi leka). Ma ke ala, hiki iā ʻoe ke ʻike i nā hoʻonohonoho pili i ka ʻāpana hoʻonohonoho Word.
Eia nō naʻe, inā ʻae ʻia ka hoʻonui ʻana o ke kahua, hoʻolaha ʻo Microsoft Word i ka mea hoʻohana i ka wā e noi ai kahi kahua e komo i ka ʻikepili i holoi ʻia, e like me ka DDE ma luna. Ke ao mai nei o Microsoft ia oe.
Akā ʻo ka mea nui loa, e haʻalele ʻole nā mea hoʻohana i kēia ʻōlelo aʻo a hoʻōla i ka hoʻonui ʻana i nā kahua ma Word. ʻO kēia kekahi o nā manawa hikiʻole ke mahalo iā Microsoft no ka hoʻopau ʻana i ka hiʻohiʻona DDE weliweli.
Pehea ka paʻakikī o ka loaʻa ʻana o kahi ʻōnaehana Windows unpatched i kēia lā?
No kēia hoʻāʻo ʻana, ua hoʻohana au i nā AWS Workspaces e kiʻi i kahi pākaukau virtual. Ma kēia ʻano ua loaʻa iaʻu kahi mīkini virtual MS Office unpatched i ʻae iaʻu e hoʻokomo i ke kahua DDEAUTO. ʻAʻohe oʻu kānalua ma ke ʻano like hiki iā ʻoe ke loaʻa i nā hui ʻē aʻe i hoʻokomo ʻole i nā ʻāpana palekana e pono ai.
Pohihihi o na mea
ʻOiai inā ʻoe i hoʻokomo i kēia pākuʻi, aia nā lua palekana ʻē aʻe ma MS Office e hiki ai i nā mea hackers ke hana i kahi mea like loa me kā mākou i hana ai me Word. Ma ke kūlana aʻe e aʻo ai mākou E hoʻohana i ka Excel ma ke ʻano he maunu no ka hoʻouka ʻana me ka ʻole o ke kākau ʻana i kekahi code.
No ka hoʻomaopopo ʻana i kēia hiʻohiʻona, e hoʻomanaʻo kākou i ka Microsoft Component Object Model, a i ʻole no ka pōkole COM (Hōʻano Mea Hoʻohālike).
Ua puni ʻo COM mai ka makahiki 1990, a ua wehewehe ʻia ʻo ia he "ʻano hoʻohālike ʻokoʻa ʻōlelo, object-oriented component" e pili ana i nā kelepona kaʻina hana mamao RPC. No ka ʻike maʻamau o nā huaʻōlelo COM, heluhelu ma StackOverflow.
Basically, hiki iā ʻoe ke noʻonoʻo i kahi noi COM ma ke ʻano he Excel a i ʻole Word executable, a i ʻole kekahi faila binary e holo nei.
ʻIke ʻia hiki ke holo i kahi noi COM ka palapala — JavaScript a i ʻole VBScript. Ua kapa ʻia ʻo ia palapala palapala. Ua ʻike paha ʻoe i ka hoʻonui .sct no nā faila ma Windows - ʻo ia ka hoʻonui kūhelu no nā palapala. ʻO ka mea nui, he code script lākou i kāʻei ʻia i kahi kāwili XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Ua ʻike ka poʻe hackers a me nā pentesters aia kekahi mau pono a me nā noi i loko o Windows e ʻae i nā mea COM a, no laila, nā scriptlets pū kekahi.
Hiki iaʻu ke hāʻawi i kahi palapala i kahi pono Windows i kākau ʻia ma VBS i kapa ʻia ʻo pubprn. Aia ia ma ka hohonu o C: Windowssystem32Printing_Admin_Scripts. Ma ke ala, aia kekahi mau pono Windows ʻē aʻe e ʻae i nā mea i nā ʻāpana. E nānā mua kākou i kēia laʻana.
He mea maʻamau ka hiki ke hoʻokuʻu ʻia ka pūpū mai kahi palapala paʻi. Hele Microsoft!
Ma ke ʻano he hoʻāʻo, ua hana au i kahi palapala liʻiliʻi mamao e hoʻomaka ana i kahi pūpū a paʻi i kahi leka ʻakaʻaka, "Ua kākau ʻia ʻoe!" ʻO ka mea nui, hoʻopuka koke ʻo pubprn i kahi mea scriptlet, e ʻae ana i ka code VBScript e holo i kahi kāwili. Hāʻawi kēia ʻano hana i kahi pōmaikaʻi i ka poʻe hackers e makemake e hoʻokuʻu i loko a hūnā ma kāu ʻōnaehana.
Ma ka pou aʻe, e wehewehe wau pehea e hoʻohana ʻia ai nā palapala COM e nā mea hackers me ka hoʻohana ʻana i nā pāpalapala Excel.
No kāu haʻawina home, e nānā mai Derbycon 2016, e wehewehe pono ana i ka hoʻohana ʻana o nā hackers i nā scriptlets. A heluhelu pū e pili ana i nā palapala a me kekahi ʻano moniker.
Source: www.habr.com