Elusive Malware თავგადასავალი, ნაწილი IV: DDE და Word დოკუმენტის ველები

ეს სტატია არის Fileless Malware სერიის ნაწილი. სერიის ყველა სხვა ნაწილი:

• მიუღწეველი მავნე პროგრამის თავგადასავალი, ნაწილი I
• Elusive Malware-ის თავგადასავალი, ნაწილი II: საიდუმლო VBA სკრიპტები
• მიუღწეველი მავნე პროგრამის თავგადასავალი, ნაწილი III: ჩახლართული VBA სკრიპტები სიცილისთვის და მოგებისთვის
• Elusive Malware თავგადასავალი, ნაწილი IV: DDE და Word დოკუმენტის ველები (ჩვენ აქ ვართ)

ამ სტატიაში მე ვაპირებდი ჩავძირულიყავი კიდევ უფრო რთულ მრავალსაფეხურიან უფაილიო თავდასხმის სცენარში, სისტემაზე დამაგრებით. მაგრამ შემდეგ მე წავაწყდი წარმოუდგენლად მარტივ, კოდის გარეშე შეტევას - არ არის საჭირო Word ან Excel მაკროები! და ეს ბევრად უფრო ეფექტურად ადასტურებს ჩემს თავდაპირველ ჰიპოთეზას, რომელიც ემყარება ამ სტატიების სერიის საფუძველს: ნებისმიერი ორგანიზაციის გარე პერიმეტრის გარღვევა საერთოდ არ არის რთული ამოცანა.

პირველი შეტევა, რომელსაც მე აღვწერ, იყენებს Microsoft Word დაუცველობას, რომელიც დაფუძნებულია მოძველებული დინამიური მონაცემთა გაცვლის პროტოკოლი (DDE). ის უკვე იყო დაფიქსირდა. მეორე იყენებს უფრო ზოგად დაუცველობას Microsoft COM-ში და ობიექტების გადაცემის შესაძლებლობებში.

დაბრუნება მომავალში DDE-ით

კიდევ ვინმეს გახსოვთ DDE? ალბათ ბევრი არ არის. ეს იყო ერთ-ერთი პირველი პროცესთაშორისი კომუნიკაციის პროტოკოლები, რომლებიც აპლიკაციებსა და მოწყობილობებს მონაცემთა გადაცემის საშუალებას აძლევდა.

მე თვითონ ცოტა ვიცნობ, რადგან ტელეკომის აღჭურვილობას ვამოწმებდი და ვამოწმებდი. იმ დროს, DDE-მ ნება დართო, მაგალითად, ქოლ ცენტრის ოპერატორებს გადაეტანა აბონენტის ID CRM აპლიკაციაში, რომელმაც საბოლოოდ გახსნა მომხმარებლის ბარათი. ამისათვის თქვენ უნდა დააკავშიროთ RS-232 კაბელი თქვენს ტელეფონსა და კომპიუტერს შორის. ეს ის დღეები იყო!

როგორც ირკვევა, Microsoft Word ჯერ კიდევ არის მხარს უჭერს DDE.

რაც ამ შეტევას კოდის გარეშე ეფექტურს ხდის არის ის, რომ თქვენ შეგიძლიათ შეხვიდეთ DDE პროტოკოლზე პირდაპირ Word დოკუმენტის ავტომატური ველებიდან (სენსეპოსტზე ქუდი კვლევები და პუბლიკაციები ამის შესახებ).

ველის კოდები არის კიდევ ერთი უძველესი MS Word ფუნქცია, რომელიც საშუალებას გაძლევთ დაამატოთ დინამიური ტექსტი და ცოტა პროგრამირება თქვენს დოკუმენტში. ყველაზე თვალსაჩინო მაგალითია გვერდის ნომრის ველი, რომელიც შეიძლება ჩასვათ ქვედაბოლოში მნიშვნელობის {PAGE *MERGEFORMAT} გამოყენებით. ეს საშუალებას აძლევს გვერდის ნომრების ავტომატურად გენერირებას.

მინიშნება: მენიუს ველი შეგიძლიათ იპოვოთ ჩასმის ქვეშ.

მახსოვს, როდესაც პირველად აღმოვაჩინე ეს ფუნქცია Word-ში, გაოცებული დავრჩი. და სანამ პატჩი არ გათიშავდა მას, Word კვლავ მხარს უჭერდა DDE ველების ვარიანტს. იდეა იყო, რომ DDE მისცემდა Word-ს პირდაპირ კომუნიკაციას აპლიკაციასთან, რათა შემდეგ მას შეეძლო პროგრამის გამომავალი დოკუმენტში გადაცემა. ეს იყო ძალიან ახალგაზრდა ტექნოლოგია იმ დროს - მონაცემთა გაცვლის მხარდაჭერა გარე აპლიკაციებით. მოგვიანებით იგი განვითარდა COM ტექნოლოგიად, რომელსაც ასევე განვიხილავთ ქვემოთ.

საბოლოოდ, ჰაკერები მიხვდნენ, რომ ეს DDE აპლიკაცია შეიძლება იყოს ბრძანების ჭურვი, რომელმაც, რა თქმა უნდა, გაუშვა PowerShell და იქიდან ჰაკერებს შეეძლოთ გაეკეთებინათ ის, რაც სურდათ.
ქვემოთ მოყვანილი სკრინშოტი გვიჩვენებს, თუ როგორ გამოვიყენე ეს სტელსი ტექნიკა: პატარა PowerShell სკრიპტი (შემდგომში PS) DDE ველიდან იტვირთება სხვა PS სკრიპტი, რომელიც იწყებს თავდასხმის მეორე ფაზას.

მადლობა Windows-ს ამომხტარი გაფრთხილებისთვის, რომ ჩაშენებული DDEAUTO ველი ფარულად ცდილობს გარსის გაშვებას

დაუცველობის გამოყენების სასურველი მეთოდია DDEAUTO ველის მქონე ვარიანტის გამოყენება, რომელიც ავტომატურად აწარმოებს სკრიპტს. გახსნისთანავე Word დოკუმენტი.
მოდით ვიფიქროთ იმაზე, რისი გაკეთება შეგვიძლია ამ მხრივ.

როგორც ახალბედა ჰაკერს, შეგიძლიათ, მაგალითად, გაუგზავნოთ ფიშინგული ელ.წერილი, თითქოს თქვენ ხართ ფედერალური საგადასახადო სამსახურიდან და ჩართოთ DDEAUTO ველი PS სკრიპტით პირველი ეტაპისთვის (ძირითადად, წვეთოვანი). და არც კი გჭირდებათ მაკროსების რეალური კოდირების გაკეთება და ა.შ., როგორც მე გავაკეთე წინა სტატია.
მსხვერპლი ხსნის თქვენს დოკუმენტს, ჩაშენებული სკრიპტი გააქტიურებულია და ჰაკერი კომპიუტერის შიგნით ხვდება. ჩემს შემთხვევაში, დისტანციური PS სკრიპტი უბრალოდ ბეჭდავს შეტყობინებას, მაგრამ მას შეუძლია ისევე ადვილად გაუშვას PS Empire კლიენტი, რომელიც უზრუნველყოფს დისტანციური გარსის წვდომას.
და სანამ მსხვერპლი რაიმეს სათქმელს მოასწრებს, ჰაკერები სოფლის უმდიდრესი თინეიჯერები აღმოჩნდებიან.

ჭურვი გაუშვა ოდნავი კოდირების გარეშე. ბავშვსაც კი შეუძლია ამის გაკეთება!

DDE და ველები

მოგვიანებით მაიკროსოფტმა გამორთო DDE Word-ში, მაგრამ არა მანამდე, სანამ კომპანიამ განაცხადა, რომ ფუნქცია უბრალოდ ბოროტად იქნა გამოყენებული. მათი უხალისობა რაიმეს შეცვლაზე გასაგებია. ჩემი გამოცდილებით, მე თვითონ მინახავს მაგალითი, სადაც ჩართული იყო ველების განახლება დოკუმენტის გახსნისას, მაგრამ Word მაკროები გამორთული იყო IT-ის მიერ (მაგრამ აჩვენებდა შეტყობინებას). სხვათა შორის, თქვენ შეგიძლიათ იპოვოთ შესაბამისი პარამეტრები Word პარამეტრების განყოფილებაში.

თუმცა, მაშინაც კი, თუ ველის განახლება ჩართულია, Microsoft Word დამატებით აცნობებს მომხმარებელს, როდესაც ველი ითხოვს წვდომას წაშლილ მონაცემებზე, როგორც ეს ზემოთ DDE-ს შემთხვევაშია. Microsoft ნამდვილად გაფრთხილებთ.

მაგრამ, სავარაუდოდ, მომხმარებლები მაინც უგულებელყოფენ ამ გაფრთხილებას და გაააქტიურებენ ველების განახლებას Word-ში. ეს არის ერთ-ერთი იშვიათი შესაძლებლობა, მადლობა გადავუხადოთ Microsoft-ს საშიში DDE ფუნქციის გამორთვისთვის.

რამდენად რთულია დღეს დაუმუშავებელი Windows სისტემის პოვნა?

ამ ტესტირებისთვის ვირტუალურ დესკტოპზე წვდომისთვის გამოვიყენე AWS Workspaces. ამ გზით მე მივიღე გაუხსნელი MS Office ვირტუალური მანქანა, რომელიც მომცა DDEAUTO ველის ჩასმის უფლება. ეჭვი არ მეპარება, რომ ანალოგიურად შეგიძლიათ იპოვოთ სხვა კომპანიები, რომლებსაც ჯერ არ აქვთ დაინსტალირებული უსაფრთხოების საჭირო პატჩები.

საგნების საიდუმლო

მაშინაც კი, თუ თქვენ დააინსტალირეთ ეს პატჩი, MS Office-ში არის სხვა უსაფრთხოების ხვრელები, რომლებიც საშუალებას აძლევს ჰაკერებს გააკეთონ რაღაც ძალიან მსგავსი, რაც ჩვენ გავაკეთეთ Word-თან. შემდეგ სცენარში ვისწავლით გამოიყენეთ Excel, როგორც სატყუარა ფიშინგის შეტევისთვის, ყოველგვარი კოდის დაწერის გარეშე.

ამ სცენარის გასაგებად, გავიხსენოთ Microsoft Component Object Model, ან მოკლედ COM (კომპონენტური ობიექტის მოდელი).

COM არსებობს 1990-იანი წლებიდან და განისაზღვრება, როგორც "ენაზე ნეიტრალური, ობიექტზე ორიენტირებული კომპონენტის მოდელი", რომელიც დაფუძნებულია RPC დისტანციური პროცედურის ზარებზე. COM ტერმინოლოგიის ზოგადი გაგებისთვის წაიკითხეთ ეს პოსტი StackOverflow-ზე.

ძირითადად, თქვენ შეგიძლიათ წარმოიდგინოთ COM აპლიკაცია, როგორც Excel ან Word შესრულებადი, ან სხვა ორობითი ფაილი, რომელიც მუშაობს.

გამოდის, რომ COM აპლიკაციასაც შეუძლია გაშვება სცენარი - JavaScript ან VBScript. ტექნიკურად მას ე.წ სკრიპტი. შესაძლოა გინახავთ Windows-ში ფაილების .sct გაფართოება - ეს არის სკრიპლეტების ოფიციალური გაფართოება. არსებითად, ისინი სკრიპტის კოდია, რომელიც შეფუთულია XML შეფუთვაში:

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

ჰაკერებმა და პენტესტერებმა აღმოაჩინეს, რომ Windows-ში არის ცალკეული უტილიტები და აპლიკაციები, რომლებიც იღებენ COM ობიექტებს და, შესაბამისად, სკრიპლეტებსაც.

მე შემიძლია გადასცეს სკრიპტი Windows-ის პროგრამას, რომელიც დაწერილია VBS-ში, რომელიც ცნობილია როგორც pubprn. ის მდებარეობს C:Windowssystem32Printing_Admin_Scripts-ის სიღრმეში. სხვათა შორის, არსებობს Windows-ის სხვა კომუნალური საშუალებები, რომლებიც იღებენ ობიექტებს პარამეტრებად. ჯერ ამ მაგალითს მივხედოთ.

სავსებით ბუნებრივია, რომ ჭურვის გაშვება შესაძლებელია ბეჭდური სკრიპტიდანაც კი. წადი Microsoft!

როგორც ტესტი, მე შევქმენი მარტივი დისტანციური სკრიპტი, რომელიც გამოუშვებს გარსს და ბეჭდავს სასაცილო მესიჯს, „თქვენ ახლახან დაწერეთ!“ არსებითად, pubprn ახდენს სკრიპლეტის ობიექტს, რაც საშუალებას აძლევს VBScript კოდს გაუშვას wrapper. ეს მეთოდი აშკარა უპირატესობას აძლევს ჰაკერებს, რომელთაც სურთ შემოიპარონ და დაიმალონ თქვენს სისტემაში.

შემდეგ პოსტში მე აგიხსნით, თუ როგორ შეიძლება COM სკრიპლეტების ექსპლუატაცია ჰაკერების მიერ Excel ცხრილების გამოყენებით.

საშინაო დავალებისთვის, გადახედეთ ეს ვიდეო Derbycon 2016-დან, რომელიც ზუსტად განმარტავს, თუ როგორ იყენებდნენ ჰაკერები სკრიპლეტებს. და ასევე წაიკითხეთ ამ მუხლის სკრიპლეტებისა და რაღაც გვარის შესახებ.

წყარო: www.habr.com