とらえどころのないマルウェアの冒険、パート IV: DDE および Word ドキュメント フィールド

この記事はファイルレス マルウェア シリーズの一部です。 シリーズの他のすべての部分:

• とらえどころのないマルウェアの冒険、パート I
• とらえどころのないマルウェアの冒険、パート II: 秘密の VBA スクリプト
• とらえどころのないマルウェアの冒険、パート III: 笑いと利益のためのもつれた VBA スクリプト
• とらえどころのないマルウェアの冒険、パート IV: DDE および Word ドキュメント フィールド (ここにいます)

この記事では、システムへの固定を伴う、さらに複雑な多段階のファイルレス攻撃シナリオについて詳しく説明するつもりでした。 しかしその後、Word や Excel のマクロを必要としない、非常にシンプルなコード不要の攻撃に遭遇しました。 そしてこれは、この一連の記事の根底にある私の当初の仮説をより効果的に証明しています。つまり、組織の外周を突破することはまったく難しいことではありません。

これから説明する最初の攻撃は、次のような Microsoft Word の脆弱性を悪用します。 時代遅れの 動的データ交換プロトコル （DDE）。 彼女はすでに 修理済み。 XNUMX つ目は、Microsoft COM およびオブジェクト転送機能のより一般的な脆弱性を悪用します。

DDE によるバック・トゥ・ザ・フューチャー

DDEを覚えている人はいますか？ おそらく多くはないでしょう。 それは最初のものの一つでした アプリケーションとデバイスがデータを転送できるようにするプロセス間通信プロトコル.

私自身、通信機器の検査やテストを行っていたため、このことについては少し詳しく知っています。 当時、DDE を使用すると、たとえば、コールセンターのオペレーターが発信者 ID を CRM アプリケーションに転送し、最終的に顧客カードを開くことができました。 これを行うには、携帯電話とコンピュータの間に RS-232 ケーブルを接続する必要がありました。 そんな日々でした！

結局のところ、Microsoft Word はまだ サポートする DDE。

コードなしでこの攻撃が効果的になるのは、DDE プロトコルにアクセスできるためです。 直接に Word 文書の自動フィールドから (SensePost の機能に脱帽) 研究と出版物 それについて）。

フィールド コード これは、ドキュメントにダイナミック テキストと少しのプログラミングを追加できる、もう XNUMX つの古い MS Word 機能です。 最もわかりやすい例はページ番号フィールドで、値 {PAGE *MERGEFORMAT} を使用してフッターに挿入できます。 これにより、ページ番号を自動的に生成できます。

ヒント: [フィールド] メニュー項目は [挿入] の下にあります。

Word のこの機能を初めて知ったとき、驚いたのを覚えています。 そして、パッチによって無効になるまで、Word は引き続き DDE フィールド オプションをサポートしていました。 DDE を使用すると、Word がアプリケーションと直接通信できるようになり、プログラムの出力を文書に渡すことができるという考えがありました。 これは当時非常に新しいテクノロジーであり、外部アプリケーションとのデータ交換をサポートしていました。 これは後に COM テクノロジーに発展しました。これについても以下で説明します。

最終的に、ハッカーは、この DDE アプリケーションがコマンド シェルである可能性があることに気づき、当然 PowerShell が起動され、そこからハッカーはやりたいことを何でもできるようになりました。
以下のスクリーンショットは、このステルス手法をどのように使用したかを示しています。DDE フィールドからの小さな PowerShell スクリプト (以下、PS) が別の PS スクリプトをロードし、攻撃の第 XNUMX フェーズを開始します。

組み込みの DDEAUTO フィールドが密かにシェルを開始しようとしているというポップアップ警告を表示してくれた Windows に感謝します

この脆弱性を悪用する推奨される方法は、スクリプトを自動的に実行する DDEAUTO フィールドを持つバリアントを使用することです。 開くとき Word 文書。
これについて何ができるかを考えてみましょう。

初心者ハッカーは、たとえば、連邦税務局から来たふりをしてフィッシングメールを送信し、最初の段階 (本質的にはドロッパー) の PS スクリプトに DDEAUTO フィールドを埋め込むことができます。 そして、私がやったように、マクロなどの実際のコーディングを行う必要さえありません。 前の記事。
被害者が文書を開くと、埋め込まれたスクリプトがアクティブになり、ハッカーがコンピュータ内に侵入します。 私の場合、リモート PS スクリプトはメッセージを出力するだけですが、リモート シェル アクセスを提供する PS Empire クライアントを簡単に起動することもできます。
そして、被害者が何かを言う前に、ハッカーは村で最も裕福な十代の若者であることが判明します。

シェルはコーディングをまったく行わずに起動されました。 子供でもできる！

DDE とフィールド

Microsoft は後に Word で DDE を無効にしましたが、同社はその機能が単に誤用されただけであると発表しました。 彼らが何かを変えることをためらうのは理解できます。 私の経験では、文書を開いたときのフィールドの更新が有効になっているのに、Word マクロが IT 部門によって無効にされている (ただし通知は表示されている) 例を見てきました。 ちなみに、対応する設定は Word の設定セクションにあります。

ただし、フィールドの更新が有効になっている場合でも、上記の DDE の場合と同様に、フィールドが削除されたデータへのアクセスを要求すると、Microsoft Word はさらにユーザーに通知します。 Microsoft は本気で警告しています。

しかし、おそらく、ユーザーはこの警告を無視し、Word でフィールドの更新をアクティブにするでしょう。 これは、危険な DDE 機能を無効にしてくれた Microsoft に感謝する数少ない機会の XNUMX つです。

現在、パッチが適用されていない Windows システムを見つけるのはどれほど難しいでしょうか?

このテストでは、AWS Workspaces を使用して仮想デスクトップにアクセスしました。 このようにして、DDEAUTO フィールドを挿入できるパッチが適用されていない MS Office 仮想マシンを取得しました。 同様の方法で、必要なセキュリティ パッチをまだインストールしていない他の企業も見つかることは間違いありません。

物体の謎

このパッチをインストールしたとしても、MS Office には他のセキュリティ ホールがあり、ハッカーが Word で行ったことと非常によく似た行為を行うことができます。 次のシナリオで学びます コードを書かずに Excel をフィッシング攻撃のおとりとして使用します。

このシナリオを理解するために、Microsoft コンポーネント オブジェクト モデル (略称) を思い出してください。 COM (コンポーネント オブジェクト モデル).

COM は 1990 年代から存在しており、RPC リモート プロシージャ コールに基づいた「言語に依存しないオブジェクト指向コンポーネント モデル」として定義されています。 COM 用語の一般的な理解については、以下をお読みください。 この郵便受け スタックオーバーフローで。

基本的に、COM アプリケーションは Excel や Word の実行可能ファイル、または実行されるその他のバイナリ ファイルと考えることができます。

COMアプリケーションも実行できることが判明 スクリプト — JavaScript または VBScript。 技術的にはこう呼ばれます スクリプトレット。 Windows のファイルの .sct 拡張子を見たことがあるかもしれません。これはスクリプトレットの公式拡張子です。 基本的に、これらは XML ラッパーでラップされたスクリプト コードです。

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

ハッカーと侵入テスターは、COM オブジェクトを受け入れ、それに応じてスクリプトレットも受け入れる別のユーティリティとアプリケーションが Windows に存在することを発見しました。

pubprn として知られる VBS で書かれた Windows ユーティリティにスクリプトレットを渡すことができます。 これは C:Windowssystem32Printing_Admin_Scripts の奥にあります。 ちなみに、オブジェクトをパラメータとして受け入れる Windows ユーティリティは他にもあります。 まずこの例を見てみましょう。

当然ですが、印刷スクリプトからもシェルを起動できます。 マイクロソフトに行こう！

テストとして、シェルを起動して「スクリプトが作成されました!」という面白いメッセージを出力する単純なリモート スクリプトレットを作成しました。 基本的に、pubprn はスクリプトレット オブジェクトをインスタンス化し、VBScript コードがラッパーを実行できるようにします。 この方法は、システムに忍び込んで隠れようとするハッカーにとって明らかな利点を提供します。

次回の投稿では、ハッカーが Excel スプレッドシートを使用して COM スクリプトレットを悪用する方法について説明します。

宿題のために、見てください このビデオ Derbycon 2016 より。ハッカーがスクリプトレットをどのように使用したかを正確に説明しています。 そしてまた読んでください この記事 スクリプトレットとある種のあだ名について。

出所： habr.com