Ity lahatsoratra ity dia ampahany amin'ny andiany Malware tsy misy rakitra. Ny ampahany hafa rehetra amin'ny andiany:
- The Adventures of the Elusive Malware, Fizarana IV: DDE sy Word Document Fields (eto izahay)
Ato amin'ity lahatsoratra ity, handeha hiroboka ao anatin'ny toe-javatra sarotra kokoa tsy misy rakitra tsy misy rakitra aho miaraka amin'ny fametahana ny rafitra. Saingy avy eo aho dia nahita fanafihana tsotra sy tsy misy code β tsy mila macro Word na Excel! Ary izany dia manaporofo amin'ny fomba mahomby kokoa ny fiheverako tany am-boalohany mifototra amin'ity andian-dahatsoratra ity: tsy asa sarotra mihitsy ny manapaka ny perimeter ivelan'ny fikambanana rehetra.
Ny fanafihana voalohany holazaiko dia manararaotra ny vulnerability Microsoft Word izay mifototra amin'ny lany andro (DDE). Efa nisy izy . Ny faharoa dia manararaotra ny fahalemena ankapobeny kokoa amin'ny Microsoft COM sy ny fahaiza-mifindra zavatra.
Miverena amin'ny ho avy miaraka amin'ny DDE
Misy hafa mahatadidy an'i DDE ve? Tsy maro angamba. Iray amin'ireo voalohany izy io protocols fifandraisana inter-process izay mamela ny fampiharana sy ny fitaovana handefasana data.
Somary zatra an'io ny tenako satria nijery sy nanandrana ny fitaovana telecom aho taloha. Tamin'izany fotoana izany, navelan'ny DDE, ohatra, ny mpandraharaha foibe antso mba hamindra ny ID mpiantso amin'ny fampiharana CRM, izay nanokatra karatra mpanjifa tamin'ny farany. Mba hanaovana izany dia tsy maintsy mampifandray tariby RS-232 eo amin'ny findainao sy ny solosainao ianao. Ireo no andro!
Raha ny fantatra dia mbola misy ny Microsoft Word DDE.
Ny mahatonga ity fanafihana ity hahomby raha tsy misy code dia ny fahafahanao miditra amin'ny protocol DDE mivantana avy amin'ny saha mandeha ho azy amin'ny antontan-taratasy Word (satroka amin'ny SensePost for momba izany).
Kaody saha dia endri-javatra hafa taloha MS Word izay ahafahanao manampy lahatsoratra mavitrika sy fandaharana kely amin'ny rakitrao. Ny ohatra miharihary indrindra dia ny saha laharan'ny pejy, izay azo ampidirina ao amin'ny footer amin'ny fampiasana ny sanda {PAGE *MERGEFORMAT}. Izany dia mamela ny laharan'ny pejy ho voavolavola ho azy.
Soso-kevitra: Azonao atao ny mahita ny sakafo Field eo ambanin'ny Insert.
Tadidiko fa rehefa nahita an'io endri-javatra io tao amin'ny Word aho dia gaga. Ary mandra-pahatongan'ny patch tsy nanakana azy, Word dia mbola nanohana ny safidy sahan'ny DDE. Ny hevitra dia ny hamela an'i Word hifandray mivantana amin'ny fampiharana ny DDE, mba hahafahany mampita ny vokatry ny programa amin'ny antontan-taratasy. Teknolojia tena tanora tamin'izany fotoana izany - fanohanana ny fifanakalozana angona miaraka amin'ny fampiharana ivelany. Taty aoriana dia novolavolaina ho teknolojia COM, izay hojerentsika eto ambany ihany koa.
Tamin'ny farany, fantatry ny mpijirika fa ity fampiharana DDE ity dia mety ho akorandriaka baiko, izay mazava ho azy fa nanangana PowerShell, ary avy eo dia afaka manao izay tiany ny mpijirika.
Ny pikantsary eto ambany dia mampiseho ny fomba nampiasako ity teknika miafina ity: script PowerShell kely (antsoina hoe PS avy eo) avy amin'ny sahan'ny DDE dia mitondra script PS hafa, izay manomboka ny dingana faharoa amin'ny fanafihana.
Misaotra an'i Windows noho ny fampitandremana mipoitra fa ny saha DDEAUTO naorina dia miezaka mangingina manomboka ny akorandriaka
Ny fomba tiana indrindra amin'ny fitrandrahana ny vulnerability dia ny fampiasana variana miaraka amin'ny saha DDEAUTO, izay mandeha ho azy ny script rehefa manokatra Word document.
Andeha hojerentsika izay azontsika atao momba izany.
Amin'ny maha-mpijirika vaovao anao dia azonao atao, ohatra, ny mandefa mailaka phishing, mody milaza fa avy amin'ny Federal Tax Service ianao, ary ampidiro ny saha DDEAUTO miaraka amin'ny script PS ho an'ny dingana voalohany (midina, indrindra). Ary tsy mila manao coding tena izy amin'ny macros ianao, sns., tahaka ny nataoko tao
Sokafy ny antontan-taratasinao ilay niharam-boina, avitrika ny sora-baventy napetraka, ary ny mpijirika dia miditra ao anaty solosaina. Raha ny amiko, ny script PS lavitra dia manonta hafatra fotsiny, fa afaka manomboka mora foana ny mpanjifa PS Empire, izay hanome fidirana amin'ny shell lavitra.
Ary alohan'ny hananan'ilay niharam-boina fotoana hilazana na inona na inona, dia ho lasa tanora mpanankarena indrindra ao an-tanΓ na ireo hackers.
Nalefa tsy nisy coding na kely aza ny akorandriaka. Na ny ankizy aza dia mahavita izany!
DDE sy saha
Microsoft taty aoriana dia nanaisotra ny DDE ao amin'ny Word, saingy tsy talohan'ny nanambaran'ny orinasa fa nampiasaina tamin'ny fomba diso fotsiny ilay fampiasa. Azo takarina ny tsy fahavononana hanova na inona na inona. Raha ny traikefako, izaho tenako dia nahita ohatra iray izay nahafahana nanavao ny saha rehefa manokatra antontan-taratasy, fa ny Word macros dia nalain'ny IT (fa mampiseho fampahafantarana). Raha ny tokony ho izy dia azonao atao ny mahita ireo fanovana mifanaraka amin'izany ao amin'ny fizarana Word Settings.
Na izany aza, na dia azo atao aza ny fanavaozana ny saha, ny Microsoft Word dia mampahafantatra ny mpampiasa ihany koa rehefa misy saha mangataka fidirana amin'ny angona voafafa, toy ny amin'ny DDE etsy ambony. Mampitandrina anao tokoa i Microsoft.
Saingy azo inoana fa mbola tsy hiraharaha an'io fampitandremana io ny mpampiasa ary hampavitrika ny fanavaozana ny saha ao amin'ny Word. Ity dia iray amin'ireo fotoana tsy fahita firy hisaorana an'i Microsoft noho ny fanafoanana ny endri-javatra DDE mampidi-doza.
Sarotra ve ny mahita rafitra Windows tsy voafehy ankehitriny?
Ho an'ity fitsapana ity dia nampiasa AWS Workspaces aho mba hidirana amin'ny birao virtoaly. Tamin'izany fomba izany dia nahazo milina virtoaly MS Office tsy voafehy aho izay namela ahy hampiditra ny saha DDEAUTO. Tsy isalasalana fa amin'ny fomba mitovy amin'izany dia afaka mahita orinasa hafa izay tsy mbola nametraka ny patch fiarovana ilaina ianao.
Misterin'ny zavatra
Na dia nametraka an'io patch io aza ianao, dia misy lavaka fiarovana hafa ao amin'ny MS Office izay mamela ny hackers hanao zavatra mitovy amin'ny nataonay tamin'ny Word. Amin'ny toe-javatra manaraka dia hianatra isika Ampiasao ny Excel ho fanjonoana amin'ny fanafihana phishing nefa tsy manoratra code.
Mba hahatakarana io toe-javatra io, andeha hotadidintsika ny Microsoft Component Object Model, na raha fohy COM (Modely zavatra singa).
Efa nisy hatramin'ny taona 1990 ny COM, ary nofaritana ho "modely singa mifototra amin'ny teny tsy miandany amin'ny fiteny" mifototra amin'ny antso an-tariby lavitra RPC. Raha mila fahatakarana ankapobeny ny teny COM, vakio amin'ny StackOverflow.
Amin'ny ankapobeny, azonao atao ny mieritreritra ny fampiharana COM ho Excel na Word executable, na rakitra binary hafa mandeha.
Hita fa afaka mandeha ihany koa ny fampiharana COM ny script - JavaScript na VBScript. Ara-teknika no iantsoana azy scriptlet. Mety efa nahita ny fanitarana .sct ho an'ny rakitra ao amin'ny Windows ianao - ity no fanitarana ofisialy ho an'ny scriptlets. Amin'ny ankapobeny, kaody script nofonosina anaty fonosana XML izy ireo:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hitan'ny hackers sy ny pentesters fa misy fitaovana sy fampiharana samihafa ao amin'ny Windows izay manaiky ny zavatra COM ary, araka izany, ny scriptlets ihany koa.
Afaka mandefa scriptlet amin'ny fitaovana Windows voasoratra ao amin'ny VBS antsoina hoe pubprn aho. Ao amin'ny halalin'ny C:Windowssystem32Printing_Admin_Scripts no misy azy. Raha ny marina, misy fitaovana Windows hafa izay manaiky ny zavatra ho paramètre. Andeha hojerentsika aloha ity ohatra ity.
Ara-boajanahary fa azo atomboka ny akorandriaka na dia avy amin'ny script pirinty aza. Mandehana Microsoft!
Ho fanandramana, dia namorona script kely lavitra iray aho izay mamoaka akorandriaka ary manonta hafatra mampihomehy hoe: "Vao avy nosoratana ianao!" Amin'ny ankapobeny, ny pubprn dia mametraka zavatra scriptlet, mamela ny kaody VBScript hampandeha fonosana. Ity fomba ity dia manome tombony mazava ho an'ireo mpijirika te-hiditra an-tsokosoko sy miafina ao amin'ny rafitrao.
Amin'ny lahatsoratra manaraka dia hanazava ny fomba ampiasain'ny hackers amin'ny alΓ lan'ny takelaka Excel aho ny scriptlets COM.
Jereo ny entimodinao avy amin'ny Derbycon 2016, izay manazava tsara ny fomba nampiasan'ny hackers ny scriptlets. Ary mamaky koa momba ny scriptlets sy karazana moniker.
Source: www.habr.com