ដំណើរផ្សងព្រេងនៃមេរោគដែលងាយយល់, ផ្នែកទី IV: DDE និង Word Document Fields

អត្ថបទនេះគឺជាផ្នែកមួយនៃស៊េរី Fileless Malware ។ ផ្នែកផ្សេងទៀតទាំងអស់នៃស៊េរី៖

• ដំណើរផ្សងព្រេងនៃមេរោគដែលងាយយល់ វគ្គ I
• ដំណើរផ្សងព្រេងនៃមេរោគដែលវង្វេងវង្វាន់ ផ្នែកទី II៖ ស្គ្រីប VBA សម្ងាត់
• ដំណើរផ្សងព្រេងនៃមេរោគដែលវង្វេងវង្វាន់ ផ្នែកទី III៖ ស្គ្រីប VBA ច្របូកច្របល់សម្រាប់ការសើច និងប្រាក់ចំណេញ
• ដំណើរផ្សងព្រេងនៃមេរោគដែលវង្វេងវង្វាន់ ផ្នែកទី IV: DDE និង Word Document Fields (យើងនៅទីនេះ)

នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងចូលទៅក្នុងសេណារីយ៉ូនៃការវាយប្រហារគ្មានឯកសារច្រើនដំណាក់កាលដ៏ស្មុគស្មាញមួយ ជាមួយនឹងការខ្ទាស់នៅលើប្រព័ន្ធ។ ប៉ុន្តែបន្ទាប់មកខ្ញុំបានឆ្លងកាត់ការវាយប្រហារដោយគ្មានលេខកូដសាមញ្ញមិនគួរឱ្យជឿ - មិនត្រូវការម៉ាក្រូ Word ឬ Excel! ហើយនេះបង្ហាញឱ្យឃើញកាន់តែមានប្រសិទ្ធភាពនូវសម្មតិកម្មដើមរបស់ខ្ញុំដែលស្ថិតនៅក្រោមអត្ថបទស៊េរីនេះ៖ ការបំបែកបរិវេណខាងក្រៅនៃស្ថាប័នណាមួយមិនមែនជាកិច្ចការពិបាកទាល់តែសោះ។

ការវាយប្រហារដំបូងដែលខ្ញុំនឹងរៀបរាប់អំពីភាពងាយរងគ្រោះរបស់ Microsoft Word ដែលផ្អែកលើ ហួសសម័យ ពិធីការផ្លាស់ប្តូរទិន្នន័យថាមវន្ត (DDE). នាងរួចទៅហើយ ថេរ. ទីពីរទាញយកភាពងាយរងគ្រោះជាទូទៅនៅក្នុង Microsoft COM និងសមត្ថភាពផ្ទេរវត្ថុ។

ត្រលប់ទៅអនាគតជាមួយ DDE

មានអ្នកណានៅចាំ DDE អត់? ប្រហែលជាមិនច្រើនទេ។ វាគឺជាផ្នែកមួយនៃការដំបូង ពិធីការទំនាក់ទំនងអន្តរដំណើរការ ដែលអនុញ្ញាតឱ្យកម្មវិធី និងឧបករណ៍ផ្ទេរទិន្នន័យ.

ខ្ញុំ​ស្គាល់​វា​បន្តិច​ដោយ​ខ្លួន​ឯង​ព្រោះ​ខ្ញុំ​ធ្លាប់​ពិនិត្យ​និង​សាកល្បង​ឧបករណ៍​ទូរគមនាគមន៍។ នៅពេលនោះ DDE បានអនុញ្ញាតឱ្យប្រតិបត្តិករមជ្ឈមណ្ឌលហៅទូរស័ព្ទផ្ទេរលេខសម្គាល់អ្នកហៅទៅកម្មវិធី CRM ដែលនៅទីបំផុតបានបើកកាតអតិថិជន។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវភ្ជាប់ខ្សែ RS-232 រវាងទូរស័ព្ទនិងកុំព្យូទ័ររបស់អ្នក។ ទាំងនោះគឺជាថ្ងៃ!

ដូចដែលវាប្រែចេញ Microsoft Word នៅតែមាន គាំទ្រ DDE

អ្វី​ដែល​ធ្វើ​ឱ្យ​ការ​វាយ​ប្រហារ​នេះ​មាន​ប្រសិទ្ធភាព​ដោយ​គ្មាន​កូដ​គឺ​អ្នក​អាច​ចូល​ដំណើរការ​ពិធីការ DDE ដោយផ្ទាល់ ពីវាលស្វ័យប្រវត្តិនៅក្នុងឯកសារ Word (បិទទៅ SensePost សម្រាប់ ការស្រាវជ្រាវ និងការបោះពុម្ពផ្សាយ អំពី​វា)។

លេខកូដវាល គឺជាមុខងារ MS Word បុរាណមួយទៀតដែលអនុញ្ញាតឱ្យអ្នកបន្ថែមអត្ថបទថាមវន្ត និងកម្មវិធីបន្តិចទៅឯកសាររបស់អ្នក។ ឧទាហរណ៍ជាក់ស្តែងបំផុតគឺវាលលេខទំព័រ ដែលអាចបញ្ចូលទៅក្នុងបាតកថាដោយប្រើតម្លៃ {PAGE *MERGEFORMAT}។ នេះអនុញ្ញាតឱ្យបង្កើតលេខទំព័រដោយស្វ័យប្រវត្តិ។

ព័ត៌មានជំនួយ៖ អ្នកអាចស្វែងរកធាតុម៉ឺនុយវាលនៅក្រោម បញ្ចូល។

ខ្ញុំចាំថានៅពេលដែលខ្ញុំបានរកឃើញមុខងារនេះជាលើកដំបូងនៅក្នុង Word ខ្ញុំពិតជាភ្ញាក់ផ្អើលយ៉ាងខ្លាំង។ ហើយរហូតដល់បំណះបិទវា Word នៅតែគាំទ្រជម្រើសវាល DDE ។ គំនិតនេះគឺថា DDE នឹងអនុញ្ញាតឱ្យ Word ទំនាក់ទំនងដោយផ្ទាល់ជាមួយកម្មវិធី ដូច្នេះវាអាចបញ្ជូនលទ្ធផលរបស់កម្មវិធីទៅក្នុងឯកសារមួយ។ វាជាបច្ចេកវិទ្យាក្មេងណាស់នៅពេលនោះ - ការគាំទ្រសម្រាប់ការផ្លាស់ប្តូរទិន្នន័យជាមួយកម្មវិធីខាងក្រៅ។ ក្រោយមកវាត្រូវបានអភិវឌ្ឍទៅជាបច្ចេកវិទ្យា COM ដែលយើងនឹងមើលនៅខាងក្រោមផងដែរ។

នៅទីបំផុតពួក Hacker បានដឹងថាកម្មវិធី DDE នេះអាចជាសែលពាក្យបញ្ជា ដែលជាការពិតណាស់បានបើកដំណើរការ PowerShell ហើយពីទីនោះពួក Hacker អាចធ្វើអ្វីដែលពួកគេចង់បាន។
រូបថតអេក្រង់ខាងក្រោមបង្ហាញពីរបៀបដែលខ្ញុំបានប្រើបច្ចេកទេសបំបាំងកាយនេះ៖ ស្គ្រីប PowerShell តូចមួយ (តទៅនេះហៅថា PS) ពីវាល DDE ផ្ទុកស្គ្រីប PS មួយផ្សេងទៀត ដែលចាប់ផ្តើមដំណាក់កាលទីពីរនៃការវាយប្រហារ។

សូមអរគុណដល់ Windows សម្រាប់ការព្រមានលេចឡើងថាវាល DDEAUTO ដែលមានស្រាប់កំពុងព្យាយាមចាប់ផ្តើមសែលដោយសម្ងាត់

វិធីសាស្ត្រដែលពេញចិត្តក្នុងការទាញយកភាពងាយរងគ្រោះគឺត្រូវប្រើវ៉ារ្យ៉ង់ជាមួយវាល DDEAUTO ដែលដំណើរការស្គ្រីបដោយស្វ័យប្រវត្តិ។ នៅពេលបើក ឯកសារពាក្យ។
ចូរយើងគិតអំពីអ្វីដែលយើងអាចធ្វើអំពីរឿងនេះ។

ជាឧទាហរណ៍ ក្នុងនាមជាអ្នកលួចចូលថ្មីថ្មោង អ្នកអាចផ្ញើអ៊ីមែលបន្លំ ដោយធ្វើពុតថាអ្នកមកពីសេវាពន្ធសហព័ន្ធ ហើយបង្កប់វាល DDEAUTO ជាមួយនឹងអក្សរ PS សម្រាប់ដំណាក់កាលដំបូង (ជាដំណក់ទឹក ជាសំខាន់)។ ហើយ​អ្នក​មិន​ចាំបាច់​ធ្វើ​ការ​សរសេរ​កូដ​ពិត​នៃ​ម៉ាក្រូ​ជាដើម ដូច​ខ្ញុំ​បាន​ធ្វើ​ដែរ។ អត្ថបទមុន
ជនរងគ្រោះបើកឯកសាររបស់អ្នក ស្គ្រីបដែលបានបង្កប់ត្រូវបានធ្វើឱ្យសកម្ម ហើយពួក Hacker បញ្ចប់នៅខាងក្នុងកុំព្យូទ័រ។ ក្នុងករណីរបស់ខ្ញុំ ស្គ្រីប PS ពីចម្ងាយគ្រាន់តែបោះពុម្ពសារមួយ ប៉ុន្តែវាអាចដំណើរការម៉ាស៊ីនភ្ញៀវ PS Empire បានយ៉ាងងាយស្រួល ដែលនឹងផ្តល់នូវការចូលប្រើសែលពីចម្ងាយ។
ហើយ​មុន​ពេល​ជនរងគ្រោះ​មាន​ពេល​និយាយ​អ្វី អ្នក​លួច​ចូល​នឹង​ក្លាយ​ជា​ក្មេង​ជំទង់​ដែល​មាន​បំផុត​ក្នុង​ភូមិ។

សែលត្រូវបានដាក់ឱ្យដំណើរការដោយគ្មានការសរសេរកូដតិចតួចបំផុត។ សូម្បីតែក្មេងក៏អាចធ្វើបាន!

DDE និងវាល

ក្រោយមក Microsoft បានបិទ DDE នៅក្នុង Word ប៉ុន្តែមិនមែនមុនពេលក្រុមហ៊ុនបាននិយាយថាមុខងារនេះត្រូវបានគេប្រើប្រាស់ខុសធម្មតានោះទេ។ ការស្ទាក់ស្ទើររបស់ពួកគេក្នុងការផ្លាស់ប្តូរអ្វីមួយគឺអាចយល់បាន។ តាមបទពិសោធន៍របស់ខ្ញុំ ខ្ញុំផ្ទាល់បានឃើញឧទាហរណ៍មួយដែលការធ្វើបច្ចុប្បន្នភាពវាលនៅពេលបើកឯកសារ ប៉ុន្តែម៉ាក្រូ Word ត្រូវបានបិទដោយ IT (ប៉ុន្តែបង្ហាញការជូនដំណឹង)។ ដោយវិធីនេះ អ្នកអាចស្វែងរកការកំណត់ដែលត្រូវគ្នានៅក្នុងផ្នែកការកំណត់ Word ។

ទោះយ៉ាងណាក៏ដោយ ទោះបីជាការអាប់ដេតវាលត្រូវបានបើកក៏ដោយ ក៏ Microsoft Word ជូនដំណឹងបន្ថែមដល់អ្នកប្រើប្រាស់ នៅពេលដែលវាលស្នើសុំចូលប្រើទិន្នន័យដែលបានលុប ដូចករណីជាមួយ DDE ខាងលើដែរ។ Microsoft ពិតជាព្រមានអ្នក។

ប៉ុន្តែភាគច្រើន អ្នកប្រើប្រាស់នឹងនៅតែមិនអើពើនឹងការព្រមាននេះ ហើយធ្វើឱ្យការអាប់ដេតវាលនៅក្នុង Word សកម្ម។ នេះគឺជាឱកាសដ៏កម្រមួយដើម្បីថ្លែងអំណរគុណដល់ក្រុមហ៊ុន Microsoft សម្រាប់ការបិទមុខងារ DDE ដ៏គ្រោះថ្នាក់។

តើ​វា​លំបាក​ប៉ុណ្ណា​ក្នុង​ការ​ស្វែង​រក​ប្រព័ន្ធ Windows ដែល​មិន​បាន​ជួសជុល​សព្វ​ថ្ងៃ?

សម្រាប់ការធ្វើតេស្តនេះ ខ្ញុំបានប្រើ AWS Workspaces ដើម្បីចូលប្រើផ្ទៃតុនិម្មិត។ វិធីនេះខ្ញុំទទួលបានម៉ាស៊ីននិម្មិត MS Office ដែលមិនបានជួសជុលដែលអនុញ្ញាតឱ្យខ្ញុំបញ្ចូលវាល DDEAUTO ។ ខ្ញុំមិនមានការងឿងឆ្ងល់ទេថាតាមរបៀបស្រដៀងគ្នានេះអ្នកអាចស្វែងរកក្រុមហ៊ុនផ្សេងទៀតដែលមិនទាន់បានដំឡើងបំណះសុវត្ថិភាពចាំបាច់។

អាថ៌កំបាំងនៃវត្ថុ

ទោះបីជាអ្នកបានដំឡើងបំណះនេះក៏ដោយ មានរន្ធសុវត្ថិភាពផ្សេងទៀតនៅក្នុង MS Office ដែលអនុញ្ញាតឱ្យពួក Hacker ធ្វើអ្វីមួយដែលស្រដៀងនឹងអ្វីដែលយើងបានធ្វើជាមួយ Word ។ នៅក្នុងសេណារីយ៉ូបន្ទាប់យើងនឹងរៀន ប្រើ Excel ជានុយសម្រាប់ការវាយប្រហារ phishing ដោយមិនចាំបាច់សរសេរកូដណាមួយឡើយ។

ដើម្បីយល់ពីសេណារីយ៉ូនេះ ចូរយើងចងចាំអំពីគំរូវត្ថុធាតុរបស់ Microsoft ឬនិយាយឱ្យខ្លី COM (គំរូវត្ថុធាតុផ្សំ).

COM មានតាំងពីទសវត្សរ៍ឆ្នាំ 1990 ហើយត្រូវបានកំណត់ថាជា "ភាសា-អព្យាក្រឹត គំរូសមាសភាគតម្រង់ទិសវត្ថុ" ដោយផ្អែកលើ RPC ការហៅតាមនីតិវិធីពីចម្ងាយ។ សម្រាប់ការយល់ដឹងទូទៅនៃពាក្យ COM សូមអាន ប្រកាសនេះ។ នៅលើ StackOverflow ។

ជាទូទៅអ្នកអាចគិតពីកម្មវិធី COM ជា Excel ឬ Word ដែលអាចប្រតិបត្តិបាន ឬឯកសារគោលពីរផ្សេងទៀតដែលដំណើរការ។

វាប្រែថាកម្មវិធី COM ក៏អាចដំណើរការផងដែរ។ សេណារីយ៉ូ - JavaScript ឬ VBScript ។ បច្ចេកទេសត្រូវបានគេហៅថា អក្សរកាត់. អ្នកប្រហែលជាបានឃើញផ្នែកបន្ថែម .sct សម្រាប់ឯកសារនៅក្នុង Windows - នេះគឺជាផ្នែកបន្ថែមផ្លូវការសម្រាប់ scriptlets ។ សំខាន់ ពួកវាជាកូដស្គ្រីបដែលរុំក្នុង XML wrapper៖

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

ពួក Hacker និង pentesters បានរកឃើញថាមានឧបករណ៍ប្រើប្រាស់ និងកម្មវិធីដាច់ដោយឡែកនៅក្នុង Windows ដែលទទួលយកវត្ថុ COM ហើយតាមនោះ scriptlets ផងដែរ។

ខ្ញុំ​អាច​បញ្ជូន​ស្គ្រីប​មួយ​ទៅ​ឧបករណ៍​ប្រើប្រាស់​វីនដូ​ដែល​សរសេរ​ក្នុង VBS ដែល​គេ​ស្គាល់​ថា​ជា pubprn ។ វាមានទីតាំងនៅជម្រៅនៃ C:Windowssystem32Printing_Admin_Scripts ។ ដោយវិធីនេះមានឧបករណ៍ប្រើប្រាស់វីនដូផ្សេងទៀតដែលទទួលយកវត្ថុជាប៉ារ៉ាម៉ែត្រ។ សូមក្រឡេកមើលឧទាហរណ៍នេះជាមុនសិន។

វា​ពិត​ជា​ធម្មជាតិ​ដែល​សែល​អាច​ត្រូវ​បាន​បើក​ដំណើរការ​សូម្បី​តែ​ពី​ស្គ្រីប​បោះពុម្ព។ ទៅ Microsoft!

ជា​ការ​សាកល្បង ខ្ញុំ​បាន​បង្កើត​ស្គ្រីប​ពី​ចម្ងាយ​សាមញ្ញ​មួយ​ដែល​បើក​សែល ហើយ​បោះពុម្ព​សារ​គួរ​ឱ្យ​អស់​សំណើច “អ្នក​ទើប​តែ​ត្រូវ​បាន​សរសេរ​ស្គ្រីប!” ជាសំខាន់ pubprn ធ្វើឱ្យវត្ថុស្គ្រីបភ្លាមៗដែលអនុញ្ញាតឱ្យកូដ VBScript ដំណើរការរុំ។ វិធីសាស្រ្តនេះផ្តល់នូវអត្ថប្រយោជន៍ច្បាស់លាស់ដល់ពួក Hacker ដែលចង់លួចចូល និងលាក់ខ្លួននៅលើប្រព័ន្ធរបស់អ្នក។

នៅក្នុងការប្រកាសបន្ទាប់ ខ្ញុំនឹងពន្យល់ពីរបៀបដែល COM scriptlets អាចត្រូវបានកេងប្រវ័ញ្ចដោយពួក Hacker ដោយប្រើសៀវភៅបញ្ជី Excel ។

សម្រាប់កិច្ចការផ្ទះរបស់អ្នក សូមមើល វីដេអូនេះ។ ពី Derbycon 2016 ដែលពន្យល់យ៉ាងច្បាស់អំពីរបៀបដែលពួក Hacker បានប្រើ scriptlets ។ ហើយអានផងដែរ។ អត្ថបទនេះ អំពី scriptlets និងប្រភេទនៃ moniker មួយចំនួន។

ប្រភព: www.habr.com