Þessi grein er hluti af Fileless Malware seríunni. Allir aðrir hlutar seríunnar:
- The Adventures of the Elusive Malware, Part IV: DDE og Word Document Fields (við erum hér)
Í þessari grein ætlaði ég að kafa inn í enn flóknari margra þrepa skráalausa árásaratburðarás með festingu á kerfið. En svo rakst ég á ótrúlega einfalda árás án kóða - engin Word eða Excel fjölva þarf! Og þetta sannar miklu betur upprunalega tilgátu mína sem liggur að baki þessari greinaröð: að brjóta ytri jaðar hvaða stofnunar sem er er alls ekki erfitt verkefni.
Fyrsta árásin sem ég mun lýsa nýtir Microsoft Word varnarleysi sem byggist á gamaldags (DDE). Hún var þegar . Annað nýtir almennari varnarleysi í Microsoft COM og flutningsmöguleikum hluta.
Aftur til framtíðar með DDE
Man einhver eftir DDE? Líklega ekki margir. Það var eitt af þeim fyrstu samskiptareglur milli ferla sem gerðu forritum og tækjum kleift að flytja gögn.
Ég kannast svolítið við það sjálfur því ég var vanur að athuga og prófa fjarskiptabúnað. Á þeim tíma leyfði DDE, til dæmis, símaþjónustuverum að flytja auðkenni þess sem hringir í CRM forrit, sem á endanum opnaði viðskiptakort. Til að gera þetta þurftirðu að tengja RS-232 snúru á milli símans og tölvunnar. Það voru dagarnir!
Eins og það kemur í ljós er Microsoft Word enn DDE.
Það sem gerir þessa árás árangursríka án kóða er að þú getur fengið aðgang að DDE samskiptareglunum beint úr sjálfvirkum reitum í Word skjali (húfur af fyrir SensePost fyrir um það).
Svæðiskóðar er annar forn MS Word eiginleiki sem gerir þér kleift að bæta kraftmiklum texta og smá forritun við skjalið þitt. Augljósasta dæmið er blaðsíðutalareitinn, sem hægt er að setja inn í fótinn með því að nota gildið {PAGE *MERGEFORMAT}. Þetta gerir kleift að búa til blaðsíðunúmer sjálfkrafa.
Ábending: Þú getur fundið reit valmyndaratriðið undir Insert.
Ég man að þegar ég uppgötvaði þennan eiginleika í Word fyrst varð ég undrandi. Og þar til plásturinn slökkti á honum, studdi Word enn valkostinn fyrir DDE reiti. Hugmyndin var sú að DDE myndi leyfa Word að hafa bein samskipti við forritið, þannig að það gæti síðan sent úttak forritsins í skjal. Þetta var mjög ung tækni á þeim tíma - stuðningur við gagnaskipti við utanaðkomandi forrit. Það var síðar þróað í COM tækni, sem við munum einnig skoða hér að neðan.
Að lokum áttuðu tölvuþrjótarnir sig á því að þetta DDE forrit gæti verið stjórnskel, sem auðvitað setti PowerShell af stað og þaðan gátu tölvuþrjótarnir gert hvað sem þeir vildu.
Skjáskotið hér að neðan sýnir hvernig ég notaði þessa laumutækni: Lítið PowerShell forskrift (hér eftir nefnt PS) frá DDE sviðinu hleður upp öðru PS handriti, sem ræsir annan áfanga árásarinnar.
Þökk sé Windows fyrir sprettigluggaviðvörunina um að innbyggði DDEAUTO reiturinn sé í leyni að reyna að ræsa skelina
Ákjósanlegasta aðferðin til að nýta varnarleysið er að nota afbrigði með DDEAUTO reitnum, sem keyrir handritið sjálfkrafa við opnun Word skjal.
Hugsum um hvað við getum gert í þessu.
Sem nýliði tölvuþrjótur geturðu til dæmis sent phishing tölvupóst, látið eins og þú sért frá alríkisskattaþjónustunni, og fellt inn DDEAUTO reitinn með PS handritinu fyrir fyrsta stig (dropa, í rauninni). Og þú þarft ekki einu sinni að gera alvöru kóðun á fjölvi o.s.frv., eins og ég gerði í
Fórnarlambið opnar skjalið þitt, innbyggða forskriftin er virkjuð og tölvuþrjóturinn endar inni í tölvunni. Í mínu tilviki prentar ytri PS-forskriftin bara skilaboð, en það gæti alveg eins ræst PS Empire biðlarann, sem mun veita ytri skeljaaðgang.
Og áður en fórnarlambið hefur tíma til að segja eitthvað munu tölvuþrjótarnir reynast ríkustu unglingarnir í þorpinu.
Skelinni var hleypt af stokkunum án þess að hirða kóðun. Jafnvel barn getur þetta!
DDE og sviðum
Microsoft slökkti síðar á DDE í Word, en ekki áður en fyrirtækið sagði að aðgerðin væri einfaldlega misnotuð. Tregða þeirra til að breyta einhverju er skiljanleg. Af minni reynslu hef ég sjálfur séð dæmi þar sem uppfærsla á reitum við opnun skjals var virkjuð, en Word fjölvi var óvirkt af upplýsingatækni (en sýna tilkynningu). Við the vegur, þú getur fundið samsvarandi stillingar í Word stillingar hlutanum.
Hins vegar, jafnvel þó að uppfærsla reita sé virkjuð, lætur Microsoft Word notandann vita þegar reitur biður um aðgang að eyddum gögnum, eins og er með DDE hér að ofan. Microsoft er virkilega að vara þig við.
En líklega munu notendur samt hunsa þessa viðvörun og virkja reituppfærsluna í Word. Þetta er eitt af sjaldgæfum tækifærum til að þakka Microsoft fyrir að slökkva á hættulega DDE eiginleikanum.
Hversu erfitt er að finna óuppsett Windows kerfi í dag?
Fyrir þessa prófun notaði ég AWS Workspaces til að fá aðgang að sýndarskjáborði. Þannig fékk ég ópjattaða MS Office sýndarvél sem gerði mér kleift að setja inn DDEAUTO reitinn. Ég efast ekki um að á svipaðan hátt er hægt að finna önnur fyrirtæki sem hafa ekki enn sett upp nauðsynlega öryggisplástra.
Leyndardómur hluta
Jafnvel þótt þú hafir sett upp þennan plástur, þá eru önnur öryggisgöt í MS Office sem gera tölvuþrjótum kleift að gera eitthvað mjög svipað því sem við gerðum með Word. Í næstu atburðarás munum við læra notaðu Excel sem beitu fyrir vefveiðarárás án þess að skrifa neinn kóða.
Til að skilja þessa atburðarás skulum við muna eftir Microsoft Component Object Model, eða í stuttu máli COM (Component Object Model).
COM hefur verið til síðan á tíunda áratugnum og er skilgreint sem „tungumálahlutlaust hlutbundið íhlutalíkan“ byggt á RPC fjarstýrð verklagssímtölum. Til að fá almennan skilning á COM hugtökum, lestu á StackOverflow.
Í grundvallaratriðum geturðu hugsað um COM forrit sem Excel eða Word executable, eða einhverja aðra tvöfalda skrá sem keyrir.
Það kemur í ljós að COM forrit getur líka keyrt handritið — JavaScript eða VBScript. Tæknilega er það kallað handrit. Þú gætir hafa séð .sct viðbótina fyrir skrár í Windows - þetta er opinbera viðbótin fyrir smáforrit. Í meginatriðum eru þeir handritskóði vafinn inn í XML umbúðir:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Tölvusnápur og pentesters hafa uppgötvað að það eru aðskilin tól og forrit í Windows sem taka við COM-hlutum og, í samræmi við það, smáforrit líka.
Ég get sent smáforskrift í Windows tól skrifað í VBS sem kallast pubprn. Það er staðsett í djúpum C:Windowssystem32Printing_Admin_Scripts. Við the vegur, það eru önnur Windows tól sem samþykkja hluti sem breytur. Skoðum þetta dæmi fyrst.
Það er alveg eðlilegt að hægt sé að ræsa skelina jafnvel frá prenthandriti. Áfram Microsoft!
Sem próf, bjó ég til einfalt fjarstýrt handrit sem ræsir skel og prentar skemmtileg skilaboð, "Þú hefur bara verið skrifaður!" Í meginatriðum birtir pubprn scriptlet hlut, sem gerir VBScript kóða kleift að keyra umbúðir. Þessi aðferð veitir tölvusnápur sem vilja laumast inn og fela sig á kerfinu þínu skýran kost.
Í næstu færslu mun ég útskýra hvernig tölvuþrjótar geta nýtt sér COM smáforrit sem nota Excel töflureikni.
Fyrir heimavinnuna þína, skoðaðu frá Derbycon 2016, sem útskýrir nákvæmlega hvernig tölvuþrjótar notuðu smáforrit. Og líka lesið um handrit og einhvers konar nafnorð.
Heimild: www.habr.com