Бұл мақала Файлсыз зиянды бағдарламалар сериясының бөлігі болып табылады. Серияның барлық басқа бөліктері:
- Қиындықсыз зиянды бағдарламаның оқиғалары, IV бөлім: DDE және Word құжатының өрістері (біз осындамыз)
Бұл мақалада мен жүйеде бекітетін одан да күрделі көп сатылы файлсыз шабуыл сценарийін қарастыратын болдым. Бірақ содан кейін мен керемет қарапайым, кодсыз шабуылға тап болдым - Word немесе Excel макростары қажет емес! Бұл мақалалар топтамасының негізінде жатқан менің бастапқы гипотезамды әлдеқайда тиімдірек дәлелдейді: кез келген ұйымның сыртқы периметрін бұзу қиын міндет емес.
Мен сипаттайтын бірінші шабуыл негізінде Microsoft Word осалдығын пайдаланады ескірген (DDE). Ол әлдеқашан болды . Екіншісі Microsoft COM жүйесіндегі жалпы осалдықты және нысанды тасымалдау мүмкіндіктерін пайдаланады.
DDE көмегімен болашаққа оралу
Тағы біреу DDE-ні есіне алады ма? Көп емес шығар. Бұл алғашқылардың бірі болды қолданбалар мен құрылғыларға деректерді тасымалдауға мүмкіндік беретін процессаралық байланыс протоколдары.
Мен онымен аздап таныспын, өйткені мен телекоммуникациялық жабдықты тексеріп, сынақтан өткізетінмін. Сол кезде DDE, мысалы, байланыс орталығының операторларына қоңырау шалушы идентификаторын CRM қолданбасына тасымалдауға мүмкіндік берді, ол ақыр соңында тұтынушы картасын ашты. Ол үшін телефон мен компьютер арасында RS-232 кабелін қосу керек болды. Ол күндер еді!
Белгілі болғандай, Microsoft Word әлі де DDE.
Бұл шабуылды кодсыз тиімді ететін нәрсе DDE протоколына қол жеткізу тікелей Word құжатындағы автоматты өрістерден (SensePost үшін шляпалар осы жайлы).
Өріс кодтары құжатқа динамикалық мәтінді және біраз бағдарламалауды қосуға мүмкіндік беретін тағы бір ежелгі MS Word мүмкіндігі. Ең айқын мысал - {PAGE *MERGEFORMAT} мәнін пайдаланып төменгі деректемеге кірістіруге болатын бет нөмірі өрісі. Бұл бет нөмірлерін автоматты түрде жасауға мүмкіндік береді.
Кеңес: Өріс мәзір элементін Кірістіру астынан табуға болады.
Мен Word бағдарламасында бұл мүмкіндікті алғаш ашқанда таңғалғаным есімде. Патч оны өшірмейінше, Word DDE өрістері опциясын қолдады. Бұл идея DDE Word бағдарламасына тікелей қолданбамен байланысуға мүмкіндік береді, осылайша ол бағдарламаның нәтижесін құжатқа жібере алады. Бұл сол кездегі өте жас технология - сыртқы қосымшалармен деректер алмасуды қолдау. Ол кейінірек COM технологиясына айналды, біз оны төменде қарастырамыз.
Ақырында, хакерлер бұл DDE қолданбасының командалық қабық болуы мүмкін екенін түсінді, ол, әрине, PowerShell-ді іске қосты және сол жерден хакерлер қалағанын жасай алады.
Төмендегі скриншот осы жасырын әдісті қалай пайдаланғанымды көрсетеді: DDE өрісіндегі шағын PowerShell сценарийі (бұдан әрі - PS) шабуылдың екінші кезеңін іске қосатын басқа PS сценарийін жүктейді.
Кірістірілген DDEAUTO өрісі қабықты іске қосуға жасырын әрекет жасап жатқаны туралы қалқымалы ескерту үшін Windows жүйесіне рахмет.
Осалдықты пайдаланудың қолайлы әдісі сценарийді автоматты түрде іске қосатын DDEAUTO өрісі бар нұсқаны пайдалану болып табылады. ашқан кезде Word құжаты.
Бұл туралы не істей алатынымыз туралы ойланайық.
Жаңадан келген хакер ретінде сіз, мысалы, Федералдық салық қызметінен екеніңізді көрсетіп, фишингтік электрондық поштаны жібере аласыз және бірінші кезең үшін DDEAUTO өрісін PS сценарийімен ендіруге болады (негізінен тамызғыш). Мен сияқты макростарды нақты кодтауды және т.б. жасаудың қажеті жоқ
Жәбірленуші құжатыңызды ашады, ендірілген сценарий іске қосылады және хакер компьютердің ішінде аяқталады. Менің жағдайда қашықтағы PS сценарийі жай ғана хабарды басып шығарады, бірақ ол қабықшаға қашықтан қол жеткізуді қамтамасыз ететін PS Empire клиентін оңай іске қоса алады.
Ал жәбірленуші ештеңе айтып үлгермей жатып, хакерлер ауылдағы ең бай жасөспірімдер болып шығады.
Қабық сәл кодтаусыз іске қосылды. Тіпті баланың қолынан келеді!
DDE және өрістер
Microsoft кейінірек Word бағдарламасында DDE өшірді, бірақ компания бұл мүмкіндіктің жай ғана дұрыс пайдаланбағанын мәлімдегенге дейін емес. Олардың ештеңені өзгертуге құлықсыздығы түсінікті. Мен өз тәжірибемде құжатты ашу кезінде өрістерді жаңарту қосылған мысалды көрдім, бірақ Word макростары АТ арқылы өшірілген (бірақ хабарландыру көрсетілген). Айтпақшы, Word параметрлері бөлімінде сәйкес параметрлерді таба аласыз.
Дегенмен, өрісті жаңарту қосылған болса да, Microsoft Word жоғарыдағы DDE сияқты өріс жойылған деректерге кіруді сұраған кезде пайдаланушыға қосымша хабарлайды. Microsoft сізге шынымен ескертеді.
Бірақ, ең алдымен, пайдаланушылар әлі де бұл ескертуді елемейді және Word бағдарламасындағы өрістерді жаңартуды белсендіреді. Бұл қауіпті DDE мүмкіндігін өшіргені үшін Microsoft корпорациясына алғыс айтудың сирек мүмкіндіктерінің бірі.
Бүгінгі күні патчсыз Windows жүйесін табу қаншалықты қиын?
Бұл тестілеу үшін мен виртуалды жұмыс үстеліне кіру үшін AWS Workspaces қолдандым. Осылайша мен DDEAUTO өрісін енгізуге мүмкіндік беретін патчсыз MS Office виртуалды машинасын алдым. Осындай жолмен сіз қажетті қауіпсіздік патчтарын әлі орнатпаған басқа компанияларды таба алатыныңызға күмәнім жоқ.
Заттардың жұмбағы
Бұл патчты орнатқан болсаңыз да, MS Office жүйесінде хакерлерге Word бағдарламасымен жасаған ісімізге өте ұқсас нәрсені жасауға мүмкіндік беретін басқа қауіпсіздік тесіктері бар. Келесі сценарийде біз үйренеміз Excel бағдарламасын ешбір код жазбай-ақ фишингтік шабуылға жем ретінде пайдаланыңыз.
Бұл сценарийді түсіну үшін Microsoft компонентінің нысан үлгісін еске түсірейік немесе қысқаша COM (компоненттік нысан үлгісі).
COM 1990 жылдардан бері бар және RPC қашықтағы процедура шақыруларына негізделген «тілге бейтарап, объектіге бағытталған құрамдас үлгі» ретінде анықталған. COM терминологиясын жалпы түсіну үшін оқыңыз StackOverflow жүйесінде.
Негізінде, сіз COM қолданбасын Excel немесе Word орындалатын файлы немесе жұмыс істейтін басқа екілік файл ретінде қарастыра аласыз.
COM қосымшасы да жұмыс істей алады екен сценарий — JavaScript немесе VBScript. Техникалық түрде ол аталады сценарий. Windows жүйесіндегі файлдарға арналған .sct кеңейтімін көрген болуыңыз мүмкін - бұл сценарийлер үшін ресми кеңейтім. Негізінде, олар XML қаптамасына оралған сценарий коды:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Хакерлер мен пентестерлер Windows жүйесінде COM нысандарын және сәйкесінше сценарийлерді де қабылдайтын бөлек утилиталар мен қолданбалардың бар екенін анықтады.
Мен pubprn деп аталатын VBS жүйесінде жазылған Windows утилитасына сценарийді жібере аламын. Ол C:Windowssystem32Printing_Admin_Scripts тереңдігінде орналасқан. Айтпақшы, нысандарды параметр ретінде қабылдайтын басқа Windows утилиталары бар. Алдымен осы мысалды қарастырайық.
Қабықты тіпті басып шығару сценарийінен де іске қосуға болатыны табиғи нәрсе. Майкрософтқа барыңыз!
Сынақ ретінде мен қабықты іске қосатын және «Сізге жаңа ғана сценарий жазылды!» деген күлкілі хабарламаны басып шығаратын қарапайым қашықтағы скрипт жасадым. Негізінде, pubprn скрипт нысанын жасайды, бұл VBScript кодына қаптаманы іске қосуға мүмкіндік береді. Бұл әдіс жүйеге жасырын кіріп, жасырынғысы келетін хакерлерге айқын артықшылық береді.
Келесі постта мен COM скрипттерін Excel электрондық кестелерін пайдаланып хакерлер қалай пайдалануға болатындығын түсіндіремін.
Үй тапсырмасына назар аударыңыз Derbycon 2016 нұсқасынан, ол хакерлердің сценарийлерді қалай пайдаланғанын нақты түсіндіреді. Және де оқы сценарийлер және кейбір атаулар туралы.
Ақпарат көзі: www.habr.com