Edemede a bụ akụkụ nke usoro Malware enweghị faịlụ. Akụkụ ndị ọzọ niile nke usoro a:
- Ihe omume nke Malware Elusive, Nkebi IV: DDE na Ebe Akwụkwọ Okwu (anyị nọ ebe a)
N'edemede a, m ga-abanye n'ime ọnọdụ ọgụ na-enweghị ihe ọ bụla dị mgbagwoju anya na-etinye na sistemụ. Mana mgbe ahụ ahụrụ m mwakpo dị mfe nke enweghị koodu — ọ nweghị Okwu ma ọ bụ macros Excel achọrọ! Nke a na-egosipụtakwa nke ọma n'echiche mbụ m nke na-agbada usoro isiokwu a: imebi mpụta mpụta nke nzukọ ọ bụla abụghị ọrụ siri ike ma ọlị.
Mwakpo mbụ m ga-akọwa na-erigbu adịghị ike Microsoft Word nke dabere na ya oge ochie (DDE). Ọ nọworị . Nke abụọ na-erigbu adịghị ike izugbe na Microsoft COM yana ikike mbufe ihe.
Laghachi n'ọdịnihu na DDE
Ọ nwere onye ọzọ na-echeta DDE? Ma eleghị anya, ọ bụghị ọtụtụ. Ọ bụ otu n'ime ndị mbụ Usoro nkwurịta okwu inter-process nke kwere ka ngwa na ngwaọrụ nyefee data.
Mụ onwe m amachaghị ya nke ọma n'ihi na m na-enyocha ma nwalee akụrụngwa telecom. N'oge ahụ, DDE kwere ka, dịka ọmụmaatụ, ndị na-ahụ maka ebe a na-akpọ oku ka ha nyefee NJ onye na-akpọ oku na ngwa CRM, nke meghere kaadị ndị ahịa. Iji mee nke a, ị ga-ejikọta eriri RS-232 n'etiti ekwentị gị na kọmputa gị. Ụbọchị ndị ahụ bụ!
Dịka ọ siri pụta, Microsoft Word ka dị DDE.
Ihe na-eme ka ọgụ a dị irè na-enweghị koodu bụ na ị nwere ike ịnweta protocol DDE ozugbo site na mpaghara akpaaka na akwụkwọ Okwu (okpu na SensePost maka gbasara ya).
Koodu mpaghara bụ akụkụ ochie MS Okwu ochie nke na-enye gị ohere itinye ederede dị ike yana ntakịrị mmemme na akwụkwọ gị. Ọmụmaatụ kacha pụta ìhè bụ mpaghara nọmba ibe, nke enwere ike itinye n'okpuru ala site na iji uru {PAGE *MERGEFORMAT}. Nke a na-enye ohere ka ịmepụta nọmba ibe na-akpaghị aka.
Ndụmọdụ: Ị nwere ike ịhụ ihe menu ubi n'okpuru Fanye.
Echetere m na mgbe mbụ m chọpụtara akụkụ a na Okwu, ọ tụrụ m n'anya. Ma ruo mgbe patch ahụ kwụsịrị ya, Okwu ka kwadoro nhọrọ ubi DDE. Echiche bụ na DDE ga-ekwe ka Okwu na-ekwurịta okwu ozugbo na ngwa ahụ, ka o wee nwee ike ibufe ihe mmemme ahụ n'ime akwụkwọ. Ọ bụ teknụzụ na-eto eto n'oge ahụ - nkwado maka mgbanwe data na ngwa mpụga. E mechara mepụta ya ka ọ bụrụ teknụzụ COM, nke anyị ga-elekwa anya n'okpuru.
N'ikpeazụ, ndị hackers ghọtara na ngwa DDE a nwere ike ịbụ shei iwu, nke a na-emepụta PowerShell n'ezie, na site n'ebe ahụ ndị hackers nwere ike ime ihe ọ bụla ha chọrọ.
Nseta ihuenyo dị n'okpuru na-egosi otu m si eji usoro nzuzo a: obere edemede PowerShell (nke a na-akpọ PS) site na mpaghara DDE na-ebu edemede PS ọzọ, nke na-ebupụta akụkụ nke abụọ nke ọgụ ahụ.
Ekele dịrị Windows maka ịdọ aka ná ntị mmapụta na ogige DDEAUTO wuru na nzuzo na-agbalị ịmalite shei ahụ
Ụzọ kachasị mma iji jiri adịghị ike bụ iji ụdị dị iche iche na mpaghara DDEAUTO, nke na-eme edemede ahụ na-akpaghị aka. mgbe imeghe Akwụkwọ okwu.
Ka anyị chee echiche banyere ihe anyị nwere ike ime banyere nke a.
Dị ka onye ọchụnta ego novice, ị nwere ike, dịka ọmụmaatụ, zipu ozi-e phishing, na-eme ka ị si na ọrụ ụtụ isi nke Federal, wee tinye mpaghara DDEAUTO na edemede PS maka ọkwa nke mbụ (dobe, n'ezie). Ọ dịghịkwa mkpa ka ị mee ezigbo koodu nke macros, wdg, dịka m mere
Onye ahụ a tara ahụhụ na-emepe akwụkwọ gị, edemede agbakwunyere na-arụ ọrụ, onye na-agba ọsọ na-ejedebe n'ime kọmputa ahụ. N'ọnọdụ m, script PS dịpụrụ adịpụ na-ebipụta ozi, mana ọ nwere ike ịmalite onye ahịa PS Empire ngwa ngwa, nke ga-enye ohere ịnweta shei dịpụrụ adịpụ.
Na tupu onye a tara ahụhụ enwee ohere ikwu ihe ọ bụla, ndị na-agba ọsọ ga-aghọ ndị ntorobịa kasị baa ọgaranya n'ime obodo.
Emepụtara shei ahụ na-enweghị ntakịrị koodu. Ọbụna nwatakịrị nwere ike ime nke a!
DDE na ubi
Microsoft mechara gbanyụọ DDE na Okwu, mana ọ bụghị tupu ụlọ ọrụ ahụ kwuo na ejiri ya mee ihe n'ụzọ na-ezighị ezi. Ha adịghị achọ ịgbanwe ihe ọ bụla bụ ihe kwere nghọta. Na ahụmịhe m, mụ onwe m ahụla ihe atụ ebe imelite mpaghara mgbe emepere akwụkwọ, mana IT nwere nkwarụ macro Word (mana egosi ọkwa). Site n'ụzọ, ị nwere ike ịchọta ntọala kwekọrọ na ngalaba ntọala Okwu.
Agbanyeghị, ọbụlagodi na agbanyere mmelite ubi, Microsoft Word na-emekwa ka onye ọrụ mara mgbe ubi rịọrọ ka ịnweta data ehichapụrụ, dịka ọ dị na DDE n'elu. Microsoft na-adọ gị aka na ntị n'ezie.
Mana o yikarịrị, ndị ọrụ ka ga-eleghara ịdọ aka ná ntị a anya wee mee ka mmelite ubi rụọ ọrụ na Okwu. Nke a bụ otu n'ime ohere na-adịghị ahụkebe ikele Microsoft maka gbanyụọ njirimara DDE dị ize ndụ.
Kedu ka o siri sie ike ịchọta sistemu Windows a na-akpachibeghị anya taa?
Maka ule a, ejiri m AWS Workspaces nweta desktọpụ mebere. Ya mere ejiri m MS Office VM akwụghị ụgwọ nke nyere m ohere itinye mpaghara DDEAUTO. Enweghị m obi abụọ na n'otu ụzọ ahụ ị nwere ike ịchọta ụlọ ọrụ ndị ọzọ na-etinyebeghị ihe nchebe dị mkpa.
Ihe omimi nke ihe
Ọbụlagodi na ị wụnye patch a, enwere oghere nchekwa ndị ọzọ na MS Office nke na-enye ndị na-agba ọsọ ohere ịme ihe yiri nke anyị jiri Okwu mee. N'ọnọdụ na-esote anyị ga-amụta jiri Excel dị ka ihe azụ maka ọgụ phishing na-edeghị koodu ọ bụla.
Iji ghọta ọnọdụ a, ka anyị cheta Model Ihe Ngwa Ngwa Microsoft, ma ọ bụ nkenke COM (Ihe Nlereanya Ngwa).
COM adịla kemgbe afọ 1990, ma kọwapụta ya dị ka “asụsụ na-anọpụ iche, ụdị akụrụngwa dabere na ihe” dabere na oku usoro RPC dịpụrụ adịpụ. Maka nghọta zuru oke nke okwu COM, gụọ na StackOverflow.
N'ụzọ bụ isi, ị nwere ike iche maka ngwa COM dị ka Excel ma ọ bụ Okwu executable, ma ọ bụ faịlụ ọnụọgụ abụọ ọzọ na-agba ọsọ.
Ọ tụgharịrị na ngwa COM nwekwara ike ịgba ọsọ edemede ahụ - JavaScript ma ọ bụ VBScript. Teknụzụ ka a na-akpọ ya scriptlet. O nwere ike ịbụ na ị hụla ndọtị .sct maka faịlụ na Windows - nke a bụ ndọtị gọọmentị maka scriptlets. N'ụzọ bụ isi, ha bụ koodu edemede ejiri kechie na ihe mkpuchi XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Ndị na-egwu hackers na ndị pentesters achọpụtala na enwere ngwa na ngwa dị iche iche na Windows na-anabata ihe COM yana, yabụ, scriptlets kwa.
Enwere m ike ịnyefe scriptlet gaa na ngwa Windows nke edere na VBS mara dị ka pubprn. Ọ dị na omimi C:Windowssystem32Printing_Admin_Scripts. Site n'ụzọ, enwere ngwa Windows ndị ọzọ na-anabata ihe dị ka paramita. Ka anyị buru ụzọ leba anya n’ihe atụ a.
Ọ bụ ihe okike na enwere ike ịmalite shei ahụ ọbụlagodi site na edemede mbipụta. Gaa Microsoft!
Dị ka ule, m mepụtara script dị mfe nke dịpụrụ adịpụ nke na-ebupụta shei wee bipụta ozi na-atọ ọchị, "Edebeghị gị!" N'ikpeazụ, pubprn na-ewepụta ihe ederede, na-ekwe ka koodu VBScript mee ihe mkpuchi. Usoro a na-enye ohere doro anya maka ndị na-agba ọsọ na-achọ ịbanye na nzuzo na sistemụ gị.
Na post na-esote, m ga-akọwa otú ndị na-agba ọsọ nwere ike isi jiri akwụkwọ mgbasa ozi Excel jiri akwụkwọ COM mee ihe.
Maka ọrụ ụlọ gị, lelee anya sitere na Derbycon 2016, nke na-akọwa kpọmkwem ka ndị na-agba ọsọ si eji akwụkwọ edemede eme ihe. Na-agụkwa banyere scriptlets na ụfọdụ ụdị moniker.
isi: www.habr.com