Artikel ini adalah bagian dari seri Fileless Malware. Semua bagian lain dari seri ini:
- (kita di sini)
Dalam rangkaian artikel ini, kami mengeksplorasi metode serangan yang memerlukan sedikit usaha dari pihak peretas. Di masa lalu Kami telah membahas bahwa kode itu sendiri dapat dimasukkan ke dalam payload bidang otomatis DDE di Microsoft Word. Dengan membuka dokumen yang dilampirkan ke email phishing, pengguna yang tidak waspada akan membiarkan penyerang mendapatkan pijakan di komputernya. Namun, pada akhir tahun 2017, Microsoft celah ini untuk serangan terhadap DDE.
Perbaikannya menambahkan entri registri yang dinonaktifkan fungsi DDE di Kata. Jika Anda masih memerlukan fungsi ini, Anda dapat mengembalikan opsi ini dengan mengaktifkan kemampuan DDE yang lama.
Namun patch aslinya hanya mencakup Microsoft Word. Apakah kerentanan DDE ini ada pada produk Microsoft Office lainnya yang juga dapat dieksploitasi dalam serangan tanpa kode? Ya tentu. Misalnya, Anda juga bisa menemukannya di Excel.
Malam DDE Hidup
Saya ingat terakhir kali saya berhenti di deskripsi skrip COM. Saya berjanji akan membahasnya nanti di artikel ini.
Sementara itu, mari kita lihat sisi jahat DDE lainnya di versi Excel. Sama seperti di Word, beberapa fitur tersembunyi DDE di Excel memungkinkan Anda mengeksekusi kode tanpa banyak usaha. Sebagai pengguna Word yang sudah besar, saya familiar dengan field, namun tidak sama sekali tentang fungsi di DDE.
Saya kagum mengetahui bahwa di Excel saya bisa memanggil shell dari sel seperti yang ditunjukkan di bawah ini:
Tahukah Anda bahwa hal ini mungkin terjadi? Secara pribadi, saya tidak melakukannya
Kemampuan untuk meluncurkan shell Windows adalah milik DDE. Anda dapat memikirkan banyak hal lainnya
Aplikasi yang bisa Anda sambungkan menggunakan fungsi DDE bawaan Excel.
Apakah kamu memikirkan hal yang sama dengan yang aku pikirkan?
Biarkan perintah dalam sel kita memulai sesi PowerShell yang kemudian mengunduh dan mengeksekusi tautan - ini , yang telah kita gunakan sebelumnya. Lihat di bawah:
Cukup tempelkan sedikit PowerShell untuk memuat dan menjalankan kode jarak jauh di Excel
Namun ada kendalanya: Anda harus secara eksplisit memasukkan data ini ke dalam sel agar rumus ini dapat berfungsi di Excel. Bagaimana seorang hacker bisa menjalankan perintah DDE ini dari jarak jauh? Faktanya adalah ketika tabel Excel terbuka, Excel akan mencoba memperbarui semua tautan di DDE. Pengaturan Pusat Kepercayaan telah lama memiliki kemampuan untuk menonaktifkan ini atau memperingatkan ketika memperbarui tautan ke sumber data eksternal.
Bahkan tanpa patch terbaru, Anda dapat menonaktifkan pembaruan tautan otomatis di DDE
Microsoft awalnya sendiri Perusahaan pada tahun 2017 harus menonaktifkan pembaruan tautan otomatis untuk mencegah kerentanan DDE di Word dan Excel. Pada bulan Januari 2018, Microsoft merilis patch untuk Excel 2007, 2010 dan 2013 yang menonaktifkan DDE secara default. Ini Computerworld menjelaskan semua detail patch.
Nah, bagaimana dengan log peristiwa?
Microsoft tetap mengabaikan DDE untuk MS Word dan Excel, sehingga akhirnya menyadari bahwa DDE lebih mirip bug daripada fungsionalitas. Jika karena alasan tertentu Anda belum menginstal patch ini, Anda masih dapat mengurangi risiko serangan DDE dengan menonaktifkan pembaruan tautan otomatis dan mengaktifkan pengaturan yang meminta pengguna memperbarui tautan saat membuka dokumen dan spreadsheet.
Sekarang pertanyaan jutaan dolar: Jika Anda adalah korban serangan ini, apakah sesi PowerShell yang diluncurkan dari bidang Word atau sel Excel akan muncul di log?
Pertanyaan: Apakah sesi PowerShell diluncurkan melalui DDE yang dicatat? Jawaban: ya
Saat Anda menjalankan sesi PowerShell langsung dari sel Excel dan bukan sebagai makro, Windows akan mencatat peristiwa ini (lihat di atas). Pada saat yang sama, saya tidak dapat mengklaim bahwa akan mudah bagi tim keamanan untuk menghubungkan semua titik antara sesi PowerShell, dokumen Excel, dan pesan email serta memahami di mana serangan itu dimulai. Saya akan membahas hal ini lagi di artikel terakhir dalam seri saya yang tiada habisnya tentang malware yang sulit dipahami.
Bagaimana COM kita?
Di sebelumnya Saya menyentuh topik skrip COM. Mereka merasa nyaman dalam diri mereka sendiri. , yang memungkinkan Anda meneruskan kode, misalnya JScript, hanya sebagai objek COM. Tapi kemudian scriptlet tersebut ditemukan oleh peretas, dan ini memungkinkan mereka untuk mendapatkan pijakan di komputer korban tanpa menggunakan alat yang tidak perlu. Ini dari Derbycon mendemonstrasikan alat bawaan Windows seperti regsrv32 dan rundll32 yang menerima skrip jarak jauh sebagai argumen, dan peretas pada dasarnya melakukan serangan mereka tanpa bantuan malware. Seperti yang saya tunjukkan terakhir kali, Anda dapat dengan mudah menjalankan perintah PowerShell menggunakan skrip JScript.
Ternyata yang satu ini sangat pintar menemukan cara untuk menjalankan skrip COM Π² dokumen Unggul. Dia menemukan bahwa ketika dia mencoba memasukkan link ke dokumen atau gambar ke dalam sel, paket tertentu dimasukkan ke dalamnya. Dan paket ini secara diam-diam menerima skriplet jarak jauh sebagai masukan (lihat di bawah).
Ledakan! Metode tersembunyi dan senyap lainnya untuk meluncurkan shell menggunakan skrip COM
Setelah pemeriksaan kode tingkat rendah, peneliti menemukan apa sebenarnya serangga dalam paket perangkat lunak. Itu tidak dimaksudkan untuk menjalankan skrip COM, tetapi hanya untuk menghubungkan ke file. Saya tidak yakin apakah sudah ada patch untuk kerentanan ini. Dalam penelitian saya sendiri menggunakan Amazon WorkSpaces dengan Office 2010 yang sudah diinstal sebelumnya, saya dapat mereplikasi hasilnya. Namun, ketika saya mencoba lagi beberapa saat kemudian, tidak berhasil.
Saya sangat berharap saya telah memberi tahu Anda banyak hal menarik dan pada saat yang sama menunjukkan bahwa peretas dapat menembus perusahaan Anda dengan satu atau lain cara serupa. Bahkan jika Anda menginstal semua patch Microsoft terbaru, peretas masih memiliki banyak alat untuk mendapatkan pijakan di sistem Anda, mulai dari makro VBA yang saya gunakan untuk memulai seri ini hingga muatan berbahaya di Word atau Excel.
Di artikel terakhir (saya berjanji) dalam kisah ini, saya akan membahas tentang cara memberikan perlindungan cerdas.
Sumber: www.habr.com