Hic articulus ad seriem Malware Fileless pertinet. Omnes aliae partes seriei;
- Adventus Malware Fallaces, Pars IV: DDE et Verbum Documenti Agri (hic sumus)
In hoc articulo, in multi-scaennum sine defectione oppugnationis missionis in systemate fibulatum intendere eram. Sed tunc incidi in incredibilem simplicem, nullo codicem impetum, nullum Verbum vel Excel macros requirebat! Idque multo efficacius probatur meam originalem hypothesin sub hac articulorum serie: solvens ambitum exteriorem cuiuslibet organisationis non est arduum omnino opus.
Primum impetum Faciam res gestas describere Microsoft Verbi vulnerabilitatem quae innititur outdated (DDE). Illa iam erat . Secundae res gestae communius vulnerabilitatem in Microsoft COM et obiecti translationis facultatem habent.
Ad futurum cum DDE
Quis meminit DDE? Verisimiliter non multi. Unus ex primis erat inter processum communicationis protocolla permissa applicationes et inventa ad translationem data.
Ego parum familiaris sum cum eo quod usus sum ad reprimendam et probandum apparatum Telecomium. Illo tempore DDE permisit, exempli gratia, centrum operariorum vocare ad applicationem RECENS ID transferendi ad CRM applicationem, quae tandem emptorem card aperuit. Ad hoc faciendum, funem RS-232 coniungere inter telephonicum et computatrum tuum debebas. Ii erant dies!
Ut fit, Microsoft Verbum adhuc DDE.
Quo modo haec impetus efficax sine codice est ut in protocollo DDE accedere possis protinus ex automatic agros in Verbi documento (cnm off ad SensePost for de eo).
Codes agri Aliud pluma Verbi MS antiquae est, quae te permittit addere textum dynamicum et frenum programmandi ad documentum tuum. Exemplum manifestissimum est ager numerus paginae, qui inseri potest pedis utente valore {PAGE *MERGEFORMAT}. Hoc permittit pagina numeros statim generari.
Hint: Potes invenire ager menu item sub Insert.
Memini me cum primum hoc in Verbo reperiebam, obstupui. Et donec commissura eam debilitavit, Verbum adhuc optionem agrorum DDE sustentabat. Idea erat DDE permitteret Verbum cum applicatione directe communicare, ut tunc in documentum programmatis transire posset. Erat technicae artis adulescentulus illo tempore - sustentatio pro notitiarum commutatione cum applicationibus externis. Postea in technologia COM evoluta est, quod infra etiam videbimus.
Tandem hackers intellexit hanc applicationem DDE posse esse mandatum testam, quae utique PowerShell immissa est, et inde hackers facere potuit quicquid volebant.
Screenshot infra ostendit quomodo hanc technicam furtim usam esse: parva scriptura PowerShell (infra post PS) ex agro DDE aliud scriptionem PS onerat, quae secundae oppugnationis periodum movet.
Gratias ad Windows de pop-up monens quod in agro DDEAUTO constructum occulte concha incipere conatur
Potior modus abutendi vulnerabilitas est variantibus utendi cum agro DDEAUTO, qui automatice scripto decurrit cum foramen Verbi documentum.
Quid de hoc facere possimus cogitemus.
Ut novitius Piratica, exempli gratia, mittere potes electronicam hamatam, simulans te esse a publicanis foederalis servitiis, et agrum DDEAUTO eminxit cum scriptione PS primo stadio (distillator, essentialiter). Nec etiam opus est facere aliquam realem codicam macros, etc
Hostia documentum tuum aperit, scriptura immersa excitatur, et piratica intra computatorium desinit. In casu, sicut remotis PS scriptionis nuntium imprimit, sed tam facile potuit clientem Imperii demittere, qui remotam testam accessum praebebit.
Et antequam victima aliquid dicere tempus habeat, ludibrium futurum est ut in villa ditissimum eleifend sit.
Testa immissa sine paulum coding. Etiam puer potest facere!
DDE et agris
Microsoft postea DDE in Verbo disable fecit, sed non ante societas affirmavit pluma simpliciter abusus esse. Invitum mutare quodlibet intelligibile est. In experientia, ipse exemplum vidi ubi adaequationis agros aperiens documentum datum est, at Verbum macros ab IT (sed notificationem ostendens). Obiter invenire occasus respondentes in Verbo uncinis sectionem.
Tamen, etiamsi campus adaequationis daretur, Microsoft Verbum usorem praeterea notificat cum ager petit aditum ad data deleta, sicut in DDE supra. Microsoft vere moneo.
Sed maxime verisimile, adhuc hanc admonitionem ignorantes et agros renovationis in Verbo excitant. Haec una rara est occasiones gratias agere Microsoft pro inactivare periculosum DDE pluma.
Quam difficile est hodie invenire systema Fenestra iniunctum?
Ad hanc probationem, AWS Workspaces ad virtualem desktop accedendi usus sum. Hoc modo posui machinam virtualem MS Muneris incomptam, quae mihi agrum DDEAUTO inserere permisit. Non dubito quin simili modo alias societates invenire possis, quae necessarias inaequalitates securitatis nondum impleverunt.
Mysterium obiecti
Etiamsi hanc commissuram inaugurares, aliae securitatis foramina in Officio MS, quae gratis aliquid facere permittunt, simile quid cum Verbo fecerimus. In proximo missione discemus Usus Praecedo ut esca hamatae impetum sine ullo codice scribebat.
Ut hanc missionem intelligat, meminerimus Microsoft Component exemplar Objectum vel breve COM (Component Object Model).
COM circa ab annis 1990 fuit et definitur "lingua media, exemplar componentium objectum ordinatum" secundum RPC processum remotam vocat. Ad intellectum generalem terminologiae COM, lege on StackOverflow.
Basically, cogitare potes de applicatione COM ut Excel vel Verbum exsecutabile, vel alium fasciculum binarium currentem.
Evenit ut applicatio COM etiam currere possit sem β JavaScript vel VBScript. Technice suus 'vocatur scriptum. Potes videre extensionem tabularum in Windows - haec extensio officialis pro scriptlets. Essentialiter scripti sunt in fasciculo XML codici involuti;
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackers et penentestres invenere singulares utilitates et applicationes in Fenestra esse quae objecta COM acceptent et, proinde, scripta quoque.
Possum transire scripturam ad utilitatem Windows scriptam in VBS nota pubprn. Sita est in profundis C:Windowssystem32Printing_Admin_Scriptorum. Obiter aliae sunt Fenestra utilitates quae objecta ut parametri accipiunt. Primum hoc exemplum inspiciamus.
Prorsus naturale est, etiam e scripto impresso testa deduci posse. Ite Microsoft!
In probatione, simplicem scripturam remotam creavi quae testam immittit et ridiculum nuntium imprimit, βVos modo scriptum est! Essentialiter, pubprn instantiat objectum scriptlet, VBScript permittit codicem currere involucro. Haec methodus luculentum commodum praebet ut hackers qui obrepunt et in ratio tua abscondere volunt.
In proximo post, quomodo COM scriptulae abuti possint ab hackers utentes Excel spreadsheets exponam.
Ad congue sem, vide e Derbycon 2016, qui exacte explicat quomodo scriptlets hackers usus est. Et etiam legitur de scriptulis et monikere quodam.
Source: www.habr.com