Ez a cikk a Fileless Malware sorozat része. A sorozat összes többi része:
- (itt vagyunk)
Ebben a cikksorozatban olyan támadási módszereket vizsgálunk, amelyek minimális erőfeszítést igényelnek a hackerek részéről. A múltban Kitértünk arra, hogy magát a kódot is be lehet illeszteni a Microsoft Word DDE automatikus mezőjébe. Egy ilyen adathalász e-mailhez csatolt dokumentum megnyitásával egy óvatlan felhasználó lehetővé teszi a támadó számára, hogy megvehesse a lábát a számítógépén. 2017 végén azonban a Microsoft ez a kiskaput a DDE elleni támadásokhoz.
A javítás hozzáad egy rendszerleíró bejegyzést, amely letiltja DDE funkciók a Wordben. Ha továbbra is szüksége van erre a funkcióra, akkor a régi DDE-képességek engedélyezésével visszaállíthatja ezt a lehetőséget.
Az eredeti javítás azonban csak a Microsoft Word programot fedte le. Léteznek ezek a DDE-sérülékenységek más Microsoft Office-termékekben, amelyek kód nélküli támadásokban is kihasználhatók? Igen, persze. Például Excelben is megtalálhatja őket.
Az élők éjszakája DDE
Emlékszem, legutóbb a COM-szkriptek leírásánál álltam meg. Ígérem, hogy később ebben a cikkben ki fogok térni rájuk.
Addig is nézzük meg a DDE másik rossz oldalát az Excel verzióban. Csakúgy, mint a Wordben, néhány a DDE rejtett funkciói az Excelben lehetővé teszi a kód végrehajtását különösebb erőfeszítés nélkül. Felnőtt Word-felhasználóként ismertem a mezőket, de a DDE funkcióit egyáltalán nem.
Meglepődtem, amikor megtudtam, hogy az Excelben az alábbiak szerint tudok parancsértelmezőt meghívni egy cellából:
Tudtad, hogy ez lehetséges? Én személy szerint nem
Ez a Windows-héj indításának lehetősége a DDE jóvoltából. Sok másra is gondolhatsz
Alkalmazások, amelyekhez az Excel beépített DDE funkcióival csatlakozhat.
Ugyanarra gondolsz, amire én?
A cellán belüli parancsunk indítson el egy PowerShell-munkamenetet, amely letölti és végrehajtja a hivatkozást – ezt , amit már korábban is használtunk. Lásd alább:
Csak illesszen be egy kis PowerShellt a távoli kód betöltéséhez és futtatásához az Excelben
De van egy bökkenő: kifejezetten be kell írnia ezeket az adatokat a cellába, hogy ez a képlet működjön az Excelben. Hogyan tudja egy hacker távolról végrehajtani ezt a DDE-parancsot? A helyzet az, hogy amikor egy Excel tábla nyitva van, az Excel megpróbálja frissíteni az összes hivatkozást a DDE-ben. A Trust Center beállításai már régóta képesek letiltani ezt, vagy figyelmeztetni a külső adatforrásokra mutató hivatkozások frissítésekor.
Még a legújabb javítások nélkül is letilthatja az automatikus linkfrissítést a DDE-ben
A Microsoft eredetileg maga A vállalatoknak 2017-ben le kell tiltaniuk az automatikus hivatkozásfrissítéseket, hogy megakadályozzák a Word és az Excel DDE-sebezhetőségeit. 2018 januárjában a Microsoft olyan javításokat adott ki az Excel 2007-hez, 2010-hez és 2013-hoz, amelyek alapértelmezés szerint letiltják a DDE-t. Ez A Computerworld leírja a javítás minden részletét.
Nos, mi a helyzet az eseménynaplókkal?
A Microsoft mindazonáltal felhagyott a DDE-vel az MS Word és az Excel esetében, és ezzel végre felismerte, hogy a DDE inkább hiba, mint funkcionalitás. Ha valamilyen oknál fogva még nem telepítette ezeket a javításokat, akkor is csökkentheti a DDE-támadások kockázatát az automatikus hivatkozásfrissítések letiltásával és olyan beállítások engedélyezésével, amelyek a hivatkozások frissítésére kérik a felhasználókat dokumentumok és táblázatok megnyitásakor.
Most jön a millió dolláros kérdés: Ha Ön ennek a támadásnak az áldozata, megjelennek-e a naplóban a Word-mezőkből vagy Excel-cellákból indított PowerShell-munkamenetek?
Kérdés: A DDE-n keresztül elindított PowerShell-munkamenetek naplózva vannak? Válasz: igen
Ha a PowerShell-munkameneteket közvetlenül egy Excel-cellából futtatja, nem pedig makróként, a Windows naplózza ezeket az eseményeket (lásd fent). Ugyanakkor nem állíthatom, hogy a biztonsági csapatnak könnyű lesz összekapcsolnia az összes pontot a PowerShell-munkamenet, az Excel-dokumentum és az e-mail üzenet között, és megérteni, hol kezdődött a támadás. Erre még visszatérek a megfoghatatlan rosszindulatú programokkal foglalkozó, véget nem érő sorozatom utolsó cikkében.
Milyen a COM-unk?
Az előzőben Érintettem a COM-szkriptek témáját. Önmagukban kényelmesek. , amely lehetővé teszi a kód, mondjuk a JScript, egyszerűen COM objektumként történő átadását. De aztán hackerek fedezték fel a szkriptleteket, és ez lehetővé tette számukra, hogy szükségtelen eszközök használata nélkül megvehessék a lábukat az áldozat számítógépén. Ez A Derbycon bemutatja a beépített Windows-eszközöket, például a regsrv32-t és a rundll32-t, amelyek a távoli szkriptleteket veszik argumentumként, és a hackerek lényegében rosszindulatú programok segítsége nélkül hajtják végre a támadást. Ahogy legutóbb megmutattam, a PowerShell-parancsokat egyszerűen futtathatja JScript-szkriptlet segítségével.
Kiderült, hogy az egyik nagyon okos megtalálta a módját egy COM szkriptlet futtatásának в Excel dokumentum. Felfedezte, hogy amikor egy dokumentumra vagy képre mutató hivatkozást próbált beszúrni egy cellába, egy bizonyos csomagot beszúrtak abba. És ez a csomag csendesen elfogad egy távoli szkriptletet bemenetként (lásd lent).
Bumm! Egy másik rejtett, csendes módszer a shell indítására COM szkriptletekkel
Egy alacsony szintű kódellenőrzés után a kutató rájött, hogy mi is ez valójában bogár a csomagszoftverben. Nem az volt a célja, hogy COM-szkripteket futtasson, hanem csak a fájlokhoz való hivatkozást. Nem vagyok benne biztos, hogy létezik-e már javítás erre a sérülékenységre. Saját tanulmányomban, amelyben Amazon WorkSpaces-t használtam előre telepített Office 2010-el, sikerült megismételnem az eredményeket. Amikor azonban kicsit később újra próbálkoztam, nem működött.
Nagyon remélem, hogy sok érdekes dolgot elmondtam, és egyben megmutattam, hogy a hackerek ilyen-olyan módon behatolhatnak a cégedbe. Még ha telepíti is az összes legújabb Microsoft-javítást, a hackerek továbbra is számos eszközzel rendelkeznek, hogy megvegyék a lábukat a rendszerben, a VBA-makróktól kezdve, amelyekkel elindítottam ezt a sorozatot, a rosszindulatú Word- vagy Excel-csomagokig.
A saga utolsó (megígérem) cikkében az intelligens védelem biztosításának módjáról fogok beszélni.
Forrás: will.com