Այս հոդվածը Fileless Malware շարքի մի մասն է: Շարքի մնացած բոլոր մասերը.
- (մենք այստեղ ենք)
Այս հոդվածաշարում մենք ուսումնասիրում ենք հարձակման մեթոդները, որոնք նվազագույն ջանք են պահանջում հաքերների կողմից: Անցյալում Մենք լուսաբանել ենք, որ հնարավոր է ինքնին կոդը տեղադրել Microsoft Word-ի DDE ավտոդաշտի օգտակար բեռի մեջ: Բացելով նման փաստաթուղթ, որը կցված է ֆիշինգի էլ.փոստին, անզգույշ օգտատերը հարձակվողին թույլ կտա իր համակարգչում տեղ գրավել: Այնուամենայնիվ, 2017 թվականի վերջին Microsoft-ը այս բացը DDE-ի վրա հարձակումների համար:
Ուղղումը ավելացնում է ռեեստրի մուտք, որն անջատում է DDE գործառույթներ Word-ում։ Եթե ձեզ դեռ պետք է այս գործառույթը, ապա կարող եք վերադարձնել այս տարբերակը՝ միացնելով հին DDE հնարավորությունները:
Այնուամենայնիվ, օրիգինալ պատչը ծածկում էր միայն Microsoft Word-ը: Արդյո՞ք այս DDE խոցելիությունները գոյություն ունեն Microsoft Office-ի այլ արտադրանքներում, որոնք նույնպես կարող են օգտագործվել առանց կոդերի հարձակումների: Այո իհարկե. Օրինակ, դրանք կարող եք գտնել նաև Excel-ում:
Կենդանի DDE գիշեր
Հիշում եմ, որ վերջին անգամ կանգ առա COM scriptlets-ի նկարագրության վրա։ Խոստանում եմ, որ այս հոդվածում ավելի ուշ կհասնեմ դրանց:
Միևնույն ժամանակ, եկեք դիտենք DDE-ի մեկ այլ չար կողմը Excel-ի տարբերակում: Ճիշտ այնպես, ինչպես Word-ում, ոմանք DDE-ի թաքնված առանձնահատկությունները Excel-ում թույլ է տալիս գործարկել կոդը առանց մեծ ջանքերի: Որպես Word օգտագործող, ով մեծացել է, ես ծանոթ էի դաշտերին, բայց ոչ DDE-ի գործառույթներին:
Ես զարմացա՝ իմանալով, որ Excel-ում ես կարող եմ բջիջից կեղև կանչել, ինչպես ցույց է տրված ստորև.
Դուք գիտեի՞ք, որ դա հնարավոր է: Անձամբ ես՝ ոչ
Windows-ի կեղևը գործարկելու այս հնարավորությունը DDE-ի կողմից է: Դուք կարող եք մտածել շատ այլ բաների մասին
Հավելվածներ, որոնց կարող եք միանալ՝ օգտագործելով Excel-ի ներկառուցված DDE գործառույթները:
Դու մտածում ես նույն բանը, ինչ ես եմ մտածում?
Թող մեր բջիջի հրամանը սկսի PowerShell նիստը, որն այնուհետև ներբեռնում և կատարում է հղումը. սա , որը մենք արդեն օգտագործել ենք նախկինում։ Տես ներքեւում:
Պարզապես տեղադրեք մի քիչ PowerShell՝ Excel-ում հեռակա կոդը բեռնելու և գործարկելու համար
Բայց կա մի որսորդություն. դուք պետք է հստակ մուտքագրեք այս տվյալները բջիջի մեջ, որպեսզի այս բանաձևը աշխատի Excel-ում: Ինչպե՞ս կարող է հաքերը հեռակա կարգով կատարել այս DDE հրամանը: Փաստն այն է, որ երբ Excel աղյուսակը բաց է, Excel-ը կփորձի թարմացնել DDE-ի բոլոր հղումները: Վստահության կենտրոնի կարգավորումները վաղուց ունեին դա անջատելու կամ արտաքին տվյալների աղբյուրների հղումները թարմացնելու ժամանակ զգուշացնելու հնարավորություն:
Նույնիսկ առանց վերջին patches-ի, դուք կարող եք անջատել հղումների ավտոմատ թարմացումը DDE-ում
Microsoft-ն ի սկզբանե ինքը 2017 թվականին ընկերությունները պետք է անջատեն հղումների ավտոմատ թարմացումները՝ Word-ում և Excel-ում DDE-ի խոցելիությունը կանխելու համար: 2018 թվականի հունվարին Microsoft-ը թողարկեց Excel 2007, 2010 և 2013 թվականների համար նախատեսված պատչերը, որոնք լռելյայն անջատում են DDE-ն: Սա Computerworld-ը նկարագրում է կարկատանի բոլոր մանրամասները:
Դե, ինչ վերաբերում է իրադարձությունների տեղեկամատյաններին:
Microsoft-ը, այնուամենայնիվ, լքեց DDE-ն MS Word-ի և Excel-ի համար՝ դրանով իսկ վերջապես գիտակցելով, որ DDE-ն ավելի շատ նման է սխալի, քան ֆունկցիոնալության: Եթե ինչ-ինչ պատճառներով դուք դեռ չեք տեղադրել այս պատչերը, դուք դեռ կարող եք նվազեցնել DDE հարձակման վտանգը՝ անջատելով հղումների ավտոմատ թարմացումները և միացնելով կարգավորումները, որոնք օգտատերերին հուշում են թարմացնել հղումները փաստաթղթեր և աղյուսակներ բացելիս:
Հիմա միլիոն դոլարի հարցը. Եթե դուք այս հարձակման զոհ եք, արդյոք Word դաշտերից կամ Excel բջիջներից գործարկված PowerShell նիստերը կհայտնվեն գրանցամատյանում:
Հարց. Արդյո՞ք PowerShell նիստերը գործարկվել են DDE-ի միջոցով: Պատասխան՝ այո
Երբ PowerShell նիստերն աշխատեցնում եք անմիջապես Excel բջիջից, այլ ոչ թե որպես մակրո, Windows-ը գրանցում է այս իրադարձությունները (տես վերևում): Միևնույն ժամանակ, ես չեմ կարող պնդել, որ անվտանգության թիմի համար հեշտ կլինի այնուհետև միացնել բոլոր կետերը PowerShell նիստի, Excel փաստաթղթի և էլփոստի հաղորդագրության միջև և հասկանալ, թե որտեղ է սկսվել հարձակումը: Ես կվերադառնամ դրան խուսափողական չարամիտ ծրագրի մասին իմ անվերջ շարքի վերջին հոդվածում:
Ինչպե՞ս է մեր COM-ը:
Նախորդում Անդրադարձա COM scriptlets-ի թեմային։ Նրանք հարմար են ինքնին։ , որը թույլ է տալիս փոխանցել կոդը, ասենք JScript, պարզապես որպես COM օբյեկտ։ Բայց հետո սկրիպտները հայտնաբերվեցին հաքերների կողմից, և դա թույլ տվեց նրանց ոտք դնել զոհի համակարգչի վրա՝ առանց ավելորդ գործիքների: Սա Derbycon-ից ցուցադրում է ներկառուցված Windows գործիքներ, ինչպիսիք են regsrv32-ը և rundll32-ը, որոնք ընդունում են հեռավոր սկրիպտները որպես փաստարկներ, և հաքերները հիմնականում իրականացնում են իրենց հարձակումը առանց չարամիտ ծրագրերի օգնության: Ինչպես ցույց տվեցի նախորդ անգամ, դուք կարող եք հեշտությամբ գործարկել PowerShell հրամանները՝ օգտագործելով JScript scriptlet:
Պարզվեց, որ մեկը շատ խելացի է գտել է COM սկրիպտը գործարկելու միջոց в Excel փաստաթուղթ. Նա հայտնաբերեց, որ երբ փորձում էր որևէ փաստաթղթի կամ նկարի հղումը տեղադրել բջիջի մեջ, դրա մեջ տեղադրվում էր որոշակի փաթեթ: Եվ այս փաթեթը հանգիստ ընդունում է հեռավոր սկրիպտը որպես մուտք (տես ստորև):
Բում! Մեկ այլ գաղտագողի, լուռ մեթոդ՝ COM scriptlets-ի միջոցով կեղև գործարկելու համար
Կոդերի ցածր մակարդակի ստուգումից հետո հետազոտողը պարզել է, թե ինչ է դա իրականում bug փաթեթի ծրագրային ապահովման մեջ: Այն նախատեսված չէր COM scriptlets գործարկելու համար, այլ միայն ֆայլերին կապելու համար: Վստահ չեմ, թե արդյոք այս խոցելիության համար արդեն կարկատել կա: Իմ սեփական ուսումնասիրության ընթացքում, օգտագործելով Amazon WorkSpaces-ը, նախապես տեղադրված Office 2010-ով, ես կարողացա կրկնօրինակել արդյունքները: Սակայն, երբ մի փոքր ուշ նորից փորձեցի, չստացվեց։
Ես իսկապես հուսով եմ, որ ես ձեզ շատ հետաքրքիր բաներ ասացի և միևնույն ժամանակ ցույց տվեցի, որ հաքերները կարող են այս կամ այն կերպ ներթափանցել ձեր ընկերություն։ Նույնիսկ եթե դուք տեղադրեք Microsoft-ի բոլոր վերջին patches-ը, հաքերները դեռ շատ գործիքներ ունեն՝ ձեր համակարգում տեղ գրավելու համար՝ սկսած VBA մակրոներից, որոնցով ես սկսել եմ այս շարքը, մինչև Word-ի կամ Excel-ի վնասակար բեռները:
Այս սագայի վերջին (ես խոստանում եմ) հոդվածում ես կխոսեմ, թե ինչպես ապահովել խելացի պաշտպանություն:
Source: www.habr.com