Dësen Artikel ass Deel vun der Fileless Malware Serie. All aner Deeler vun der Serie:
- The Adventures of the Elusive Malware, Part IV: DDE and Word Document Fields (mir sinn hei)
An dësem Artikel wäert ech an en nach méi komplexe Multi-Stage fileless Attack Szenario mat Pinning op de System tauchen. Awer dunn sinn ech op en onheemlech einfachen Attack ouni Code begéint - keng Word oder Excel Makroen erfuerderlech! An dëst beweist vill méi effektiv meng ursprénglech Hypothes déi dës Serie vun Artikelen ënnersträicht: de baussenzege Perimeter vun enger Organisatioun ze briechen ass guer net eng schwiereg Aufgab.
Déi éischt Attack, déi ech beschreiwen, exploitéiert eng Microsoft Word Schwachstelle op déi baséiert veroudert (DDE). Si war schonn . Déi zweet exploitéiert eng méi allgemeng Schwachstelle bei Microsoft COM an Objekttransferfäegkeeten.
Zréck an d'Zukunft mat DDE
Erënnert een aneren un DDE? Wahrscheinlech net vill. Et war ee vun deenen éischten Inter-Prozess Kommunikatiounsprotokoller déi Applikatiounen an Apparater erlaabt Daten ze transferéieren.
Ech kennen et selwer e bëssen, well ech fréier Telekomausrüstung iwwerpréift an getest hunn. Deemools huet DDE zum Beispill Call-Center-Operateuren erlaabt d'Uruffer-ID op eng CRM-Applikatioun ze transferéieren, déi schlussendlech eng Clientskaart opgemaach huet. Fir dëst ze maachen, musst Dir en RS-232 Kabel tëscht Ärem Telefon an Ärem Computer verbannen. Dat waren d'Deeg!
Wéi et sech erausstellt, ass Microsoft Word nach ëmmer DDE.
Wat mécht dësen Attack effektiv ouni Code ass datt Dir op den DDE Protokoll kënnt direkt aus automatesche Felder an engem Word-Dokument (Hutt of fir SensePost fir doriwwer).
Feld Coden ass eng aner antik MS Word Feature déi Iech erlaabt dynameschen Text an e bësse Programméierung un Äert Dokument ze addéieren. Dat offensichtlechst Beispill ass d'Säitennummerfeld, dat mam Wäert {PAGE *MERGEFORMAT} an de Fousszeil agesat ka ginn. Dëst erlaabt Säit Zuelen automatesch generéiert ginn.
Tipp: Dir fannt de Feldmenüpunkt ënner Insert.
Ech erënnere mech datt wann ech dës Feature fir d'éischt am Word entdeckt hunn, war ech iwwerrascht. A bis de Patch et behënnert huet, huet Word nach ëmmer d'DDE Feldoptioun ënnerstëtzt. D'Iddi war datt d'DDE dem Word erlaabt direkt mat der Applikatioun ze kommunizéieren, sou datt et dann den Ausgang vum Programm an en Dokument passéiert. Et war eng ganz jonk Technologie zu där Zäit - Ënnerstëtzung fir Datenaustausch mat externen Uwendungen. Et gouf spéider an COM Technologie entwéckelt, déi mir och hei ënnen kucken.
Schlussendlech hunn d'Hacker gemierkt datt dës DDE Applikatioun eng Kommandoshell kéint sinn, déi natierlech PowerShell lancéiert huet, a vun do aus konnten d'Hacker maachen wat se wollten.
De Screenshot hei ënnen weist wéi ech dës Stealth Technik benotzt hunn: e klengt PowerShell Skript (nodréiglech als PS bezeechent) aus dem DDE Feld lued en anert PS Skript, deen déi zweet Phas vum Attack lancéiert.
Dank Windows fir d'Pop-up Warnung datt den agebaute DDEAUTO Feld geheim probéiert d'Shell ze starten
Déi bevorzugt Method fir d'Schwachheet auszenotzen ass eng Variant mat dem DDEAUTO Feld ze benotzen, deen automatesch de Skript leeft bei der Ouverture Word Dokument.
Loosst eis nodenken wat mir doriwwer maache kënnen.
Als Ufänger Hacker kënnt Dir zum Beispill eng Phishing-E-Mail schécken, virstellen datt Dir vum Bundessteierservice sidd, an d'DDEAUTO-Feld mam PS-Skript fir déi éischt Stuf (e Dropper, am Wesentlechen) embedéieren. An Dir braucht net emol eng richteg Kodéierung vu Makroen, etc., wéi ech gemaach hunn
D'Affer mécht Äert Dokument op, de embedded Skript gëtt aktivéiert, an den Hacker endet am Computer. A mengem Fall dréckt de Remote PS Skript just e Message, awer et kéint grad esou einfach den PS Empire Client starten, deen Remote Shell Zougang gëtt.
A ier d'Affer Zäit huet eppes ze soen, wäerten d'Hacker sech als déi räichste Jugendlecher am Duerf erausstellen.
D'Schuel gouf lancéiert ouni de geringste Kodéierung. Och e Kand kann dat maachen!
DDE a Felder
Microsoft huet spéider DDE am Word deaktivéiert, awer net ier d'Firma gesot huet datt d'Feature einfach mëssbraucht gouf. Hir Verzweifelung eppes ze änneren ass verständlech. A menger Erfahrung hunn ech selwer e Beispill gesinn, wou d'Aktualiséierung vun Felder beim Ouverture vun engem Dokument aktivéiert war, awer Word-Makroe goufen vun IT behënnert (awer eng Notifikatioun weisen). Iwwregens, fannt Dir déi entspriechend Astellungen an der Word Settings Sektioun.
Wéi och ëmmer, och wann d'Aktualiséierung vum Feld aktivéiert ass, informéiert Microsoft Word zousätzlech de Benotzer wann e Feld Zougang zu geläschte Donnéeën freet, sou wéi de Fall mat DDE hei uewen. Microsoft warnt Iech wierklech.
Awer héchstwahrscheinlech wäerten d'Benotzer dës Warnung nach ëmmer ignoréieren an d'Felderaktualiséierung am Word aktivéieren. Dëst ass eng vun de rare Méiglechkeete fir Microsoft Merci ze soen fir déi geféierlech DDE Feature auszeschalten.
Wéi schwéier ass et haut en unpatched Windows System ze fannen?
Fir dësen Test hunn ech AWS Workspaces benotzt fir Zougang zu engem virtuellen Desktop. Op dës Manéier krut ech eng onpatched MS Office virtuell Maschinn déi mir erlaabt huet den DDEAUTO Feld anzeginn. Ech hunn keen Zweiwel datt Dir op eng ähnlech Manéier aner Firmen fannt, déi nach net déi néideg Sécherheetspatcher installéiert hunn.
Geheimnis vun Objeten
Och wann Dir dëse Patch installéiert hutt, ginn et aner Sécherheetslächer am MS Office, déi Hacker erlaben eppes ganz ähnlech ze maachen wéi dat wat mir mat Word gemaach hunn. Am nächste Szenario wäerte mir léieren benotzt Excel als Köder fir e Phishingattack ouni Code ze schreiwen.
Fir dëst Szenario ze verstoen, loosst eis un de Microsoft Component Object Model erënneren, oder kuerz COM (Component Object Model).
COM ass zënter den 1990er Jore ronderëm, an ass definéiert als "Sproochneutral, objektorientéierter Komponentmodell" baséiert op RPC Fernprozedur Uriff. Fir eng allgemeng Versteesdemech vun COM Terminologie, liesen op StackOverflow.
Prinzipiell kënnt Dir un eng COM Applikatioun als Excel oder Word ausführbar denken, oder eng aner binär Datei déi leeft.
Et stellt sech eraus datt eng COM Applikatioun och kann lafen Szenario - JavaScript oder VBScript. Technesch heescht et scriptlet. Dir hutt vläicht d'.sct Extensioun fir Dateien an Windows gesinn - dat ass déi offiziell Extensioun fir Skriptlets. Wesentlech si se Skriptcode an engem XML-Wrapper gewéckelt:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hacker a Pentester hunn entdeckt datt et separat Utilities an Uwendungen a Windows sinn déi COM Objekter akzeptéieren an deementspriechend och Skriptlets.
Ech kann e Skript un e Windows Utility passéieren, geschriwwen a VBS bekannt als pubprn. Et läit an der Tiefe vu C: Windowssystem32Printing_Admin_Scripts. Iwwregens ginn et aner Windows Utilities déi Objeten als Parameter akzeptéieren. Loosst eis dëst Beispill als éischt kucken.
Et ass zimmlech natierlech datt d'Schuel och aus engem Print-Skript lancéiert ka ginn. Gitt Microsoft!
Als Test hunn ech en einfache Remote Scriptlet erstallt deen eng Shell lancéiert an e witzege Message dréckt: "Dir sidd just scripted!" Wesentlech instantiéiert pubprn e Skriptobjekt, wat de VBScript Code erlaabt e Wrapper ze lafen. Dës Method bitt e klore Virdeel fir Hacker, déi sech op Ärem System verstoppen wëllen.
Am nächste Post wäert ech erkläre wéi COM Skriptlets vun Hacker exploitéiert kënne ginn mat Excel Spreadsheets.
Fir Är Hausaufgaben, kuckt aus Derbycon 2016, déi erkläert genee wéi Hacker Scriptlets benotzt. An och liesen iwwer Scriptlets an eng Zort Moniker.
Source: will.com