Artikel iki minangka bagéan saka seri Fileless Malware. Kabeh bagean liyane saka seri:
- (we are here)
Ing seri artikel iki, kita njelajah cara serangan sing mbutuhake gaweyan minimal saka peretas. Jaman dhisik Kita wis nutupi manawa bisa nglebokake kode kasebut menyang muatan lapangan otomatis DDE ing Microsoft Word. Kanthi mbukak dokumen kasebut sing dilampirake ing email phishing, pangguna sing ora waspada bakal ngidini panyerang entuk pijakan ing komputer. Nanging, ing pungkasan 2017, Microsoft loophole iki kanggo serangan ing DDE.
Ndandani nambah entri pendaptaran sing mateni fungsi DDE ing Word. Yen sampeyan isih butuh fungsi iki, sampeyan bisa bali pilihan iki kanthi ngaktifake kapabilitas DDE lawas.
Nanging, tembelan asli mung nutupi Microsoft Word. Apa kerentanan DDE iki ana ing produk Microsoft Office liyane sing uga bisa dieksploitasi ing serangan tanpa kode? Iya tenanan. Contone, sampeyan uga bisa nemokake ing Excel.
Wengi Urip DDE
Aku elinga yen pungkasan wektu aku mandheg ing gambaran saka scriptlets COM. Aku janji aku bakal njaluk menyang wong mengko ing artikel iki.
Ing sawetoro wektu, ayo goleki sisih ala liyane DDE ing versi Excel. Kaya ing Word, sawetara fitur didhelikake saka DDE ing Excel ngijini sampeyan kanggo nglakokaké kode tanpa gaweyan akeh. Minangka pangguna Word sing gedhe, aku kenal karo lapangan, nanging ora kabeh babagan fungsi ing DDE.
Aku kaget ngerti yen ing Excel aku bisa nelpon cangkang saka sel kaya ing ngisor iki:
Apa sampeyan ngerti yen iki bisa ditindakake? Secara pribadi, aku ora
Kemampuan kanggo mbukak cangkang Windows iki duweni DDE. Sampeyan bisa mikir bab akeh liyane
Aplikasi sing bisa disambungake nggunakake fungsi DDE sing dibangun ing Excel.
Apa sampeyan mikir bab sing padha karo aku?
Ayo printah ing-sel kita miwiti sesi PowerShell sing banjur ngundhuh lan nglakokaké link - iki , sing wis kita gunakake sadurunge. Deleng ing ngisor iki:
Cukup tempel PowerShell sethithik kanggo mbukak lan mbukak kode remot ing Excel
Nanging ana sing nyekel: sampeyan kudu ngetik data iki kanthi jelas menyang sel supaya rumus iki bisa digunakake ing Excel. Kepiye carane peretas bisa nindakake perintah DDE iki saka jarak jauh? Kasunyatane yaiku nalika tabel Excel mbukak, Excel bakal nyoba nganyari kabeh tautan ing DDE. Setelan Trust Center wis suwe bisa mateni iki utawa ngelingake nalika nganyari pranala menyang sumber data eksternal.
Sanajan tanpa patch paling anyar, sampeyan bisa mateni nganyari link otomatis ing DDE
Microsoft asline dhewe Perusahaan ing 2017 kudu mateni nganyari link otomatis kanggo nyegah kerentanan DDE ing Word lan Excel. Ing Januari 2018, Microsoft ngrilis patch kanggo Excel 2007, 2010 lan 2013 sing mateni DDE kanthi standar. Iki Computerworld nggambarake kabeh rincian tembelan.
Inggih, babagan log acara?
Nanging Microsoft nilar DDE kanggo MS Word lan Excel, saengga pungkasane ngerti yen DDE luwih kaya bug tinimbang fungsi. Yen sakperangan alesan sampeyan durung nginstal patch iki, sampeyan isih bisa nyuda resiko serangan DDE kanthi mateni nganyari link otomatis lan ngaktifake setelan sing njaluk pangguna nganyari link nalika mbukak dokumen lan spreadsheet.
Saiki pitakonan yuta dolar: Yen sampeyan dadi korban serangan iki, bakal sesi PowerShell diluncurake saka kolom Word utawa sel Excel katon ing log?
Pitakonan: Apa sesi PowerShell diluncurake liwat DDE mlebu? Wangsulan: ya
Nalika sampeyan mbukak sesi PowerShell langsung saka sel Excel tinimbang minangka makro, Windows bakal nyathet acara kasebut (ndeleng ndhuwur). Ing wektu sing padha, aku ora bisa ngaku manawa tim keamanan bakal gampang nyambung kabeh titik ing antarane sesi PowerShell, dokumen Excel lan pesen email lan ngerti ngendi serangan kasebut diwiwiti. Aku bakal bali menyang artikel pungkasan ing seri sing ora ana pungkasan babagan malware sing angel dipahami.
Kepiye COM kita?
Ing sadurunge Aku ndemek topik scriptlets COM. Padha trep ing awake dhewe. , sing ngijini sampeyan kanggo pass kode, ngandika JScript, mung minangka obyek COM. Nanging banjur skrip kasebut ditemokake dening peretas, lan iki ngidini dheweke entuk papan ing komputer korban tanpa nggunakake alat sing ora perlu. Iki saka Derbycon nduduhake piranti Windows sing dibangun kayata regsrv32 lan rundll32 sing njupuk scriptlet remot minangka argumen, lan peretas pancen nindakake serangan kasebut tanpa bantuan malware. Nalika aku nuduhake pungkasan, sampeyan bisa kanthi gampang mbukak printah PowerShell nggunakake scriptlet JScript.
Pranyata sing siji iku pinter banget nemokake cara kanggo mbukak scriptlet COM в dokumen Excel. Dheweke nemokake yen nalika nyoba nglebokake link menyang dokumen utawa gambar menyang sel, paket tartamtu dilebokake. Lan paket iki kanthi tenang nampa scriptlet remot minangka input (ndeleng ngisor).
Boom! Cara liya sing siluman lan bisu kanggo miwiti cangkang nggunakake skrip COM
Sawise mriksa kode tingkat rendah, peneliti nemokake apa sejatine bug ing piranti lunak paket. Iki ora dimaksudaké kanggo mbukak scriptlets COM, nanging mung kanggo pranala menyang file. Aku ora yakin yen wis ana patch kanggo kerentanan iki. Ing sinau dhewe nggunakake Amazon WorkSpaces karo Office 2010 wis diinstal, aku bisa kanggo niru asil. Nanging, nalika aku nyoba maneh sawetara mengko, iku ora bisa.
Muga-muga aku ngandhani akeh perkara sing menarik lan ing wektu sing padha nuduhake manawa peretas bisa nembus perusahaan sampeyan kanthi cara sing padha. Sanajan sampeyan nginstal kabeh patch Microsoft paling anyar, peretas isih duwe akeh alat kanggo entuk pijakan ing sistem sampeyan, saka makro VBA sing diwiwiti seri iki nganti payloads angkoro ing Word utawa Excel.
Ing artikel pungkasan (Aku janji) ing saga iki, aku bakal ngomong babagan carane menehi perlindungan sing cerdas.
Source: www.habr.com