Ev gotar beşek ji rêzenivîsa Malware ya pelê ye. Hemû beşên din ên rêzê:
- Serpêhatiyên Malware Elusive, Beş IV: Zeviyên Belgeya DDE û Peyv (em li vir in)
Di vê gotarê de, ez diçûm nav senaryoyek hêrîşek pir-qonaxa hê bêtir tevlihev a bê pelê ya ku bi pînekirina pergalê ve girêdayî ye. Lê dûv re ez rastî êrîşek pir hêsan, bê kod hat - tu makroyên Word an Excel hewce ne! Û ev hîpoteza min a orîjînal a ku di binê vê rêze gotaran de pir bi bandortir îspat dike: şikandina derûdora derve ya her rêxistinê qet ne karekî dijwar e.
Êrîşa yekem a ku ez ê rave bikim qelsiyek Microsoft Word-ê ya ku li ser bingehê ye bikar tîne kevn (DDE). Ew berê bû . Ya duyemîn di kapasîteyên COM-ê yên Microsoft û veguheztina tiştan de qelsiyek gelemperî bikar tîne.
Bi DDE re vegere pêşerojê
Kesek din DDE tê bîra we? Dibe ku ne gelek. Ew yek ji yekem bû protokolên pêwendiya nav-pêvajoyê ku destûr didin serîlêdan û cîhazên ku daneyan veguhezînin.
Ez bi xwe hinekî pê nas im ji ber ku min amûrên telekomê kontrol û ceribandin. Di wê demê de, DDE destûr da, wek nimûne, operatorên navenda bangê ku nasnameya bangkerê veguhezînin serîlêdanek CRM, ku di dawiyê de qertek xerîdar vekir. Ji bo vê yekê, hûn neçar bûn ku kabloyek RS-232 di navbera têlefona xwe û komputera xwe de girêdin. Ew roj bûn!
Wekî ku diqewime, Microsoft Word hîn jî ye DDE.
Ya ku vê êrîşê bêyî kodê bandorker dike ev e ku hûn dikarin xwe bigihînin protokola DDE rasterast ji qadên otomatîkî yên di belgeyek Wordê de (ji bo SensePost-ê tê li ser wê).
Kodên zeviyê Taybetmendiyek din a kevnar a MS Word-ê ye ku dihêle hûn nivîsa dînamîkî û piçek bername li belgeya xwe zêde bikin. Mînaka herî diyar qada jimareya rûpelê ye, ku dikare bi nirxa {PAGE *MERGEFORMAT} têxe nav pêlavê. Ev dihêle ku hejmarên rûpelê bixweber bêne çêkirin.
Nîşe: Hûn dikarin di bin Insert de menuya Zeviyê bibînin.
Tê bîra min ku gava min yekem car ev taybetmendî di Wordê de keşif kir, ez matmayî mam. Û heta ku patch ew neçalak kir, Word hîn jî vebijarka zeviyên DDE piştgirî kir. Fikir ev bû ku DDE dê destûrê bide Word ku rasterast bi serîlêdanê re têkilî dayne, da ku ew paşê bikaribe derana bernameyê di belgeyekê de derbas bike. Ew di wê demê de teknolojiyek pir ciwan bû - piştgirî ji bo danûstendina daneyê bi serîlêdanên derveyî. Dûv re ew di teknolojiya COM de hate pêşve xistin, ku em ê li jêr jî lê binêrin.
Di dawiyê de, hackeran fêm kir ku ev serîlêdana DDE dikare bibe şêlek fermanê, ku bê guman PowerShell dest pê kir, û ji wir jî hacker dikarin her tiştê ku dixwazin bikin.
Wêneya jêrîn nîşan dide ku min çawa ev teknîka dizî bikar aniye: Nivîsarek piçûk a PowerShell (li vir wekî PS tê binav kirin) ji qada DDE skrîptek PS-ya din bar dike, ku qonaxa duyemîn a êrîşê dest pê dike.
Spas ji Windows-ê re ji bo hişyariya pop-up-ê ku qada DDEAUTO-ya çêkirî bi dizî hewl dide ku şêlê dest pê bike.
Rêbaza bijartî ya îstismarkirina qelsiyê ev e ku meriv guhertoyek bi qada DDEAUTO re bikar bîne, ku bixweber nivîsê dimeşîne. dema vekirinê Belgeya Word.
Werin em bifikirin ka em dikarin li ser vê yekê çi bikin.
Wekî hakerek nûjen, hûn dikarin, mînakî, e-nameyek phishing bişînin, îdia bikin ku hûn ji Karûbarê Bacê ya Federal in, û qada DDEAUTO bi skrîpta PS-ê ji bo qonaxa yekem (bi bingehîn dakêşek) bixin nav xwe. Û hûn ne hewce ne ku hûn kodkirina rastîn a makroyan, hwd., mîna ku min kir
Mexdûr belgeya we vedike, skrîpta pêvekirî tê çalak kirin, û hacker di hundurê komputerê de diqede. Di doza min de, skrîpta PS-ya dûr tenê peyamek çap dike, lê ew bi hêsanî dikare muwekîlê PS Empire, ku dê gihîştina şêlê ji dûr ve peyda bike, bide destpêkirin.
Û berî ku mexdûr wext hebe ku tiştek bêje, hacker dê bibin ciwanên herî dewlemend ên gund.
Şel bêyî kodek herî piçûk hate destpêkirin. Zarokek jî dikare vê bike!
DDE û zeviyan
Microsoft paşê DDE-ê di Word-ê de neçalak kir, lê ne berî ku pargîdanî diyar kir ku taybetmendî bi xeletî hate bikar anîn. Nerazîbûna wan a ji bo guhertina tiştekî tê fêm kirin. Di ezmûna xwe de, min bi xwe mînakek dît ku dema vekirina belgeyek nûvekirina zeviyan hate çalak kirin, lê makroyên Word-ê ji hêla IT-ê ve hatine neçalak kirin (lê agahdariyek nîşan didin). Bi awayê, hûn dikarin mîhengên têkildar di beşa mîhengên Wordê de bibînin.
Lêbelê, her çend nûvekirina zeviyê çalak be jî, Microsoft Word-ê dema ku qadek daxwaza gihîştina daneya jêbirinê dike, wekî ku li jor DDE-yê ye, bikarhêner agahdar dike. Microsoft bi rastî we hişyar dike.
Lê bi îhtîmalek mezin, bikarhêner dê dîsa jî vê hişyariyê paşguh bikin û nûvekirina zeviyan di Word-ê de çalak bikin. Ev yek ji wan firsendên kêm e ku spasiya Microsoft-ê dike ji bo neçalakkirina taybetmendiya xeternak DDE.
Îro dîtina pergalek Windows-ê nepatched çiqas dijwar e?
Ji bo vê ceribandinê, min AWS Workspace bikar anî da ku bigihîje sermaseyek virtual. Bi vî rengî min makîneyek virtual ya MS Office ya nepatched wergirt ku destûr da min ku ez qada DDEAUTO têxim. Gumana min tune ku bi vî rengî hûn dikarin pargîdaniyên din ên ku hîn pêçên ewlehiyê yên pêwîst saz nekirine bibînin.
Mystery of objects
Tewra ku we vê patchê saz kiribe jî, di MS Office de qulên ewlehiyê yên din hene ku rê didin hackeran ku tiştek pir dişibihe ya ku me bi Word re kir. Di senaryoya din de em ê fêr bibin Excel-ê ji bo êrîşek phishing bêyî nivîsandina kodê wekî kemîn bikar bînin.
Ji bo ku em vê senaryoyê fam bikin, bila em Modela Objeya Pêveka Microsoft-ê, an bi kurtasî, bînin bîra xwe COM (Modela Tişta Pêkhatî).
COM ji salên 1990-an vir ve ye, û wekî "modelek pêkhateya ziman-bêalî, objekt-oriented" li ser bingeha bangên prosedûra dûr a RPC tê pênase kirin. Ji bo têgihîştina gelemperî ya termînolojiya COM, bixwînin li ser StackOverflow.
Di bingeh de, hûn dikarin serîlêdanek COM-ê wekî Excel an Word-ê îcrakar, an pelek din a binary ku dimeşîne bifikirin.
Derket holê ku serîlêdanek COM jî dikare bixebite senaryo - JavaScript an VBScript. Ji hêla teknîkî ve tê gotin scriptlet. Dibe ku we pêveka .sct ji bo pelan di Windows-ê de dîtibe - ev pêveka fermî ya scriptlets e. Di bingeh de, ew koda skrîptê ne ku di pêçekek XML de pêça ne:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackers û pentesters vedîtin ku di Windows-ê de karûbar û serîlêdanên cuda hene ku tiştên COM û, li gorî vê yekê, skrîptet jî qebûl dikin.
Ez dikarim skriptetek bi navgînek Windows-ê ku bi VBS-ê hatî nivîsandin bi navê pubprn-ê re derbas bikim. Ew di kûrahiya C:Windowssystem32Printing_Admin_Scripts de cih digire. Bi awayê, karûbarên din ên Windows-ê hene ku tiştan wekî parametre qebûl dikin. Ka em pêşî li vê nimûneyê binêrin.
Tiştek xwezayî ye ku şêl ji nivîsek çapkirî jî were destpêkirin. Biçe Microsoft!
Wekî ceribandinek, min skrîptek dûr a hêsan afirand ku şêlekek dide destpêkirin û peyamek xweş çap dike, "Tu nû hatî nivîsandin!" Di bingeh de, pubprn nesneyek skrîptê destnîşan dike, ku dihêle koda VBScript-ê pêçanek bimeşîne. Ev rêbaz ji hackerên ku dixwazin bi dizî veşêrin û li ser pergala we veşêrin, avantajek eşkere peyda dike.
Di posta paşîn de, ez ê rave bikim ka nivîsarên COM çawa dikarin ji hêla hackeran ve bi karanîna pelgeyên Excel-ê ve werin bikar anîn.
Ji bo karên xwe yên malê, binêrin ji Derbycon 2016, ku tam rave dike ka hackeran çawa skrîptet bikar anîne. Û jî bixwînin li ser scriptlets û hin cure moniker.
Source: www.habr.com