Þessi grein er hluti af Fileless Malware seríunni. Allir aðrir hlutar seríunnar:
- (við erum hér)
Í þessari greinaröð könnum við árásaraðferðir sem krefjast lágmarks fyrirhafnar af hálfu tölvuþrjóta. Í fortíðinni Við höfum fjallað um það að það er hægt að setja kóðann sjálfan inn í DDE sjálfvirka reitinn í Microsoft Word. Með því að opna slíkt skjal sem fylgir phishing tölvupósti mun óvarkár notandi leyfa árásarmanninum að ná fótfestu á tölvunni sinni. Hins vegar, í lok árs 2017, Microsoft þetta glufu fyrir árásir á DDE.
Lagfæringin bætir við skrásetningarfærslu sem slekkur á DDE aðgerðir í Word. Ef þú þarft enn þessa virkni, þá geturðu skilað þessum valkosti með því að virkja gamla DDE getu.
Hins vegar náði upprunalega plásturinn aðeins til Microsoft Word. Eru þessir DDE veikleikar til í öðrum Microsoft Office vörum sem einnig væri hægt að nýta í árásum án kóða? Já að sjálfsögðu. Til dæmis er líka hægt að finna þær í Excel.
Night of the Living DDE
Ég man að síðast þegar ég stoppaði við lýsinguna á COM skriftum. Ég lofa að ég mun koma að þeim síðar í þessari grein.
Í millitíðinni skulum við skoða aðra vondu hlið DDE í Excel útgáfunni. Rétt eins og í Word, sumir falinn eiginleika DDE í Excel leyfa þér að keyra kóða án mikillar fyrirhafnar. Sem Word notandi sem ólst upp þekkti ég sviðin, en alls ekki um aðgerðir í DDE.
Ég var undrandi að læra að í Excel get ég hringt í skel úr frumu eins og sýnt er hér að neðan:
Vissir þú að þetta væri hægt? Persónulega geri ég það ekki
Þessi hæfileiki til að ræsa Windows skel er með leyfi DDE. Þú getur hugsað um margt annað
Forrit sem þú getur tengt við með því að nota innbyggða DDE-aðgerðir Excel.
Ertu að hugsa það sama og ég er að hugsa?
Leyfðu skipuninni okkar í klefanum að hefja PowerShell lotu sem síðan hleður niður og keyrir tengilinn - þetta , sem við höfum þegar notað áður. Sjá fyrir neðan:
Límdu bara smá PowerShell til að hlaða og keyra ytri kóða í Excel
En það er galli: þú verður að slá þessi gögn sérstaklega inn í reitinn til að þessi formúla virki í Excel. Hvernig getur tölvuþrjótur framkvæmt þessa DDE skipun lítillega? Staðreyndin er sú að þegar Excel tafla er opin mun Excel reyna að uppfæra alla tengla í DDE. Stillingar Trust Center hafa lengi haft möguleika á að slökkva á þessu eða vara við uppfærslu tengla á ytri gagnagjafa.
Jafnvel án nýjustu plástrana geturðu slökkt á sjálfvirkri uppfærslu tengla í DDE
Microsoft upphaflega sjálft Fyrirtæki árið 2017 ættu að slökkva á sjálfvirkum tenglauppfærslum til að koma í veg fyrir DDE veikleika í Word og Excel. Í janúar 2018 gaf Microsoft út plástra fyrir Excel 2007, 2010 og 2013 sem slökkva á DDE sjálfgefið. Þetta Computerworld lýsir öllum smáatriðum plástursins.
Jæja, hvað með atburðaskrár?
Microsoft yfirgaf engu að síður DDE fyrir MS Word og Excel og viðurkenndi þar með loksins að DDE er meira eins og villu en virkni. Ef þú hefur af einhverjum ástæðum ekki enn sett upp þessa plástra geturðu samt dregið úr hættu á DDE árás með því að slökkva á sjálfvirkum tenglauppfærslum og virkja stillingar sem hvetja notendur til að uppfæra tengla þegar skjöl og töflureikni opnast.
Nú er milljón dollara spurningin: Ef þú ert fórnarlamb þessarar árásar, munu PowerShell fundir sem eru ræstir úr Word reitum eða Excel frumum birtast í skránni?
Spurning: Eru PowerShell fundir settar af stað í gegnum DDE skráðar? Svar: já
Þegar þú keyrir PowerShell lotur beint úr Excel frumu frekar en sem fjölvi, mun Windows skrá þessa atburði (sjá hér að ofan). Á sama tíma get ég ekki fullyrt að það verði auðvelt fyrir öryggisteymið að tengja síðan alla punkta á milli PowerShell lotunnar, Excel skjalsins og tölvupóstsins og skilja hvar árásin hófst. Ég mun koma aftur að þessu í síðustu greininni í endalausa seríunni minni um fimmtugan spilliforrit.
Hvernig er COM okkar?
Í fyrri Ég kom inn á efnið COM skrifletur. Þau eru þægileg í sjálfu sér. , sem gerir þér kleift að senda kóða, segjum JScript, einfaldlega sem COM hlut. En svo uppgötvuðu tölvuþrjótar smáforritin og þetta gerði þeim kleift að ná fótfestu á tölvu fórnarlambsins án þess að nota óþarfa verkfæri. Þetta frá Derbycon sýnir innbyggð Windows verkfæri eins og regsrv32 og rundll32 sem samþykkja fjarstýrð smáforrit sem rök, og tölvuþrjótar framkvæma árás sína í raun án hjálpar spilliforrita. Eins og ég sýndi síðast geturðu auðveldlega keyrt PowerShell skipanir með því að nota JScript skriftu.
Það kom í ljós að maður er mjög klár fann leið til að keyra COM handrit в Excel skjal. Hann komst að því að þegar hann reyndi að setja hlekk á skjal eða mynd inn í klefa var ákveðinn pakki settur inn í hann. Og þessi pakki tekur hljóðlega við fjarstýrðu handriti sem inntak (sjá hér að neðan).
Búmm! Önnur laumulaus, þögul aðferð til að ræsa skel með því að nota COM smáforrit
Eftir lág-stigi kóða skoðun, rannsakandi komst að því hvað það er í raun galla í pakkahugbúnaðinum. Það var ekki ætlað að keyra COM smáforrit, heldur aðeins til að tengja við skrár. Ég er ekki viss um hvort það sé nú þegar til plástur fyrir þennan varnarleysi. Í eigin rannsókn minni með því að nota Amazon WorkSpaces með Office 2010 foruppsett, gat ég endurtekið niðurstöðurnar. Hins vegar, þegar ég reyndi aftur aðeins síðar, virkaði það ekki.
Ég vona svo sannarlega að ég hafi sagt þér margt áhugavert og um leið sýnt að tölvuþrjótar geta slegið í gegn hjá þér á einn eða annan svipaðan hátt. Jafnvel ef þú setur upp alla nýjustu Microsoft plástrana, hafa tölvuþrjótar enn mörg verkfæri til að ná fótfestu í kerfinu þínu, allt frá VBA fjölvi sem ég byrjaði á þessari seríu til illgjarnra hleðslu í Word eða Excel.
Í lokagreininni (ég lofa) í þessari sögu mun ég tala um hvernig á að veita snjalla vernd.
Heimild: www.habr.com