Ko tenei tuhinga he waahanga o te raupapa Malware korekore. Ko etahi atu waahanga katoa o te raupapa:
- The Adventures of the Elusive Malware, Part IV: DDE and Word Document Fields (kei konei matou)
I roto i tenei tuhinga, ka ruku ahau ki tetahi ahuatanga whakaeke-kore-kore-kore-a-maha-waahanga ake me te titi ki te punaha. Engari ka tae atu ahau ki tetahi whakaeke tino ngawari, kore-waehere—kaore he tonotono Kupu, Excel ranei e hiahiatia ana! Na tenei ka tino kaha ake taku whakapae taketake kei raro i tenei raupapa tuhinga: ko te pakaru i te paenga o waho o tetahi whakahaere ehara i te mea uaua rawa.
Ko te whakaeke tuatahi ka whakaahuahia e au he whakaraeraetanga a Microsoft Word e ahu mai ana tawhito (DDE). Ko ia kē . Ko te tuarua e whakamahi ana i te whakaraeraetanga whanui i roto i te Microsoft COM me nga kaha whakawhiti ahanoa.
Hoki ki te heke mai me DDE
Ko tetahi atu e maumahara ana ki a DDE? Kaore pea i te maha. Ko tetahi o nga mea tuatahi nga kawa whakawhitiwhiti-tukatuka i whakaaetia nga tono me nga taputapu ki te whakawhiti raraunga.
He paku mohio ahau ki a au ano na te mea i mua ahau ki te tirotiro me te whakamatautau i nga taputapu waea. I taua wa, ka whakaaetia e DDE, hei tauira, nga kaiwhakahaere pokapū waea ki te whakawhiti i te ID waea ki te tono CRM, i te mutunga ka whakatuwherahia he kaari kaihoko. Hei mahi i tenei, me hono koe i tetahi taura RS-232 i waenga i to waea me to rorohiko. Ko era nga ra!
I te mea ka puta, kei te noho tonu a Microsoft Word DDE.
Ko te aha e whai hua ai tenei whakaeke kaore he waehere ka taea e koe te uru atu ki te kawa DDE tika mai i nga mara aunoa i roto i te tuhinga Word (potae atu ki a SensePost mo mo tena).
Waehere mara Ko tetahi atu waahanga MS Word tawhito e taea ai e koe te taapiri i nga tuhinga hihiri me te ahua o te kaupapa ki to tuhinga. Ko te tauira tino kitea ko te mara tau wharangi, ka taea te whakauru ki roto i te hiku ma te whakamahi i te uara {WAHARANGA *MERGEFORMAT}. Ma tenei ka taea te hanga aunoa i nga nama wharangi.
Tohu: Ka kitea e koe te mea tahua mara i raro i te Whakauru.
Kei te maumahara ahau i taku kitenga tuatahi i tenei ahuatanga i roto i te Word, i miharo ahau. A tae noa ki te whakakore i te papaki, kei te tautoko tonu a Word i te waahanga DDE mara. Ko te whakaaro ko te DDE ka whakaae a Word ki te korero tika ki te tono, kia taea ai e ia te tuku i te putanga o te papatono ki roto i te tuhinga. He hangarau nohinohi rawa i tera wa - he tautoko mo te whakawhiti raraunga me nga tono o waho. I muri mai ka whakawhanakehia hei hangarau COM, ka tirohia ano e tatou i raro nei.
I te mutunga, ka mohio nga kaiwhaiwhai ko tenei tono DDE he anga whakahau, i whakarewahia a PowerShell, a mai i reira ka taea e nga kaiwhai te mahi i nga mea e hiahia ana ratou.
Ko te Whakaahuamata i raro nei e whakaatu ana me pehea taku whakamahi i tenei tikanga puku: he tuhinga iti PowerShell (i muri nei ka kiia ko PS) mai i te mara DDE ka utaina tetahi atu tuhinga PS, ka whakarewahia te waahanga tuarua o te whakaeke.
He mihi ki a Windows mo te whakatupato pahū-ake kei te ngana puku te mara DDEAUTO i roto ki te timata i te anga
Ko te tikanga pai ki te whakamahi i te whakaraeraetanga ko te whakamahi i tetahi momo rereke me te mara DDEAUTO, e whakahaere aunoa ana i te tuhinga. i te whakatuwheratanga Tuhinga kupu.
Kia whakaaro tatou me aha tatou mo tenei.
I te mea he kaikorero hou, ka taea e koe, hei tauira, te tuku i te imeera hītinihanga, me te kii he no roto koe i te Federal Tax Service, me te whakauru i te mara DDEAUTO me te tuhinga PS mo te waahi tuatahi (he dropper, tino). A kaore koe e hiahia ki te mahi i nga tohu tohutono, me etahi atu, penei i taku mahi i roto
Ka whakatuwherahia e te tangata i mate to tuhinga, ka whakahohehia te tuhinga whakauru, ka mutu te kaiwhakangungu ki roto i te rorohiko. I roto i taku take, ka taia noa e te tuhinga PS mamao he panui, engari ka ngawari noa te whakarewa i te kaihoko PS Empire, ka whai waahi anga mamao.
A, i mua i te wa o te patunga ki te korero i tetahi mea, ka puta nga kaiwhaiwhai ko nga taiohi tino taonga o te kainga.
I whakarewahia te anga me te kore he tohu tohu. Ka taea e te tamaiti te mahi!
DDE me nga mara
I muri mai ka whakakorehia e Microsoft te DDE i roto i te Kupu, engari kaore i mua i te kii a te kamupene i whakamahia noa te waahanga. Ko to ratou kore hiahia ki te whakarereke i tetahi mea ka marama. I roto i taku wheako, kua kite ahau i tetahi tauira i whakahoahia ai nga mara i te whakatuwheratanga o te tuhinga, engari na te IT i monoa nga tonotono Word (engari he whakaatu panui). Ma te ara, ka kitea e koe nga tautuhinga e rite ana ki te waahanga tautuhinga Kupu.
Heoi, ahakoa ka whakahohea te whakahōu āpure, ka whakamohio anō a Microsoft Word ki te kaiwhakamahi ina tono āpure kia uru atu ki ngā raraunga kua mukua, penei i te DDE kei runga ake nei. Kei te tino whakatupato a Microsoft ki a koe.
Engari ko te nuinga, ka wareware tonu nga kaiwhakamahi ki tenei whakatupato me te whakahohe i te whakahou mara ki Word. Koinei tetahi o nga waahi ohorere ki te mihi ki a Microsoft mo te whakakore i te waahanga DDE kino.
He pehea te uaua ki te kimi i tetahi punaha Windows kaore ano kia papaki i enei ra?
Mo tenei whakamatautau, i whakamahia e ahau nga Mokowāmahi AWS ki te uru atu ki te papamahi mariko. I tenei ara ka whiwhi ahau i tetahi miihini mariko MS Office kaore i paina i taea e au te whakauru i te mara DDEAUTO. Kaore au e ruarua ka kitea e koe etahi atu kamupene kaore ano kia whakauruhia nga taapiri haumarutanga e tika ana.
Nga mea ngaro
Ahakoa i whakauruhia e koe tenei papaki, tera ano etahi atu kohao haumaru i roto i te MS Office ka taea e nga kaiwhaiwhai te mahi i tetahi mea tino rite ki ta matou i mahi ki a Word. I roto i nga ahuatanga e whai ake nei ka ako tatou whakamahia a Excel hei maunu mo te whakaeke hītinihanga me te kore e tuhi waehere.
Kia mohio ai tatou ki tenei ahuatanga, me maumahara tatou ki te Microsoft Component Object Model, mo te poto ranei COM (Tauira Ahanoa Wae).
Mai i te tekau tau atu i 1990 kua noho a COM, a kua tautuhia hei "tauira wahanga-kore-kore, ahanoa-ahua" i runga i nga waea tikanga mamao a RPC. Mo te maaramatanga whanui mo nga kupu COM, panuihia i runga i StackOverflow.
Ko te tikanga, ka taea e koe te whakaaro mo te tono COM hei Excel, Word ranei ka taea te whakahaere, me etahi atu konae rua e rere ana.
Ka puta mai ka taea ano e te tono COM te whakahaere tauari — JavaScript, VBScript ranei. Ko te tikanga ka kiia tuhinga tuhi. Kua kite pea koe i te toronga .sct mo nga konae kei Windows - koinei te toronga mana mo nga tuhinga. Ko te tikanga, he waehere tuhinga kua takai ki te takai XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Kua kitea e nga Kaiwhaiwhai me nga kaikorero he taputapu motuhake me nga tono kei roto i te Matapihi e whakaae ana ki nga taonga COM me nga tuhinga tuhi hoki.
Ka taea e au te tuku tuhinga ki tetahi taputapu Windows kua tuhia ki te VBS e mohiotia ana ko pubprn. Kei te hohonutanga o C:Windowssystem32Printing_Admin_Scripts. Ma te ara, tera ano etahi atu taputapu Windows e whakaae ana ki nga mea hei taapiri. Me titiro ki tenei tauira i te tuatahi.
He mea maori ka taea te whakarewahia te anga ahakoa he tuhi tuhi. Haere Microsoft!
Hei whakamatautau, i hanga e ahau he pukapuka iti mamao e whakarewa ana i te anga me te tuhi i tetahi karere rorirori, "Katahi ano koe ka tuhihia!" Ko te tikanga, ko te pubprn te whakatakoto i tetahi ahanoa tuhinga, ka taea e te waehere VBScript te whakahaere i tetahi takai. Ko tenei tikanga he tino painga ki nga kaiwhaiwhai e hiahia ana ki te kuhu me te huna i runga i to punaha.
I te pou e whai ake nei, ka whakamarama au me pehea e taea ai e nga kaiwhaiwhai te whakamahi i nga tuhinga tuhi COM e nga kaiwhaiwhai ma te whakamahi i nga ripanga Excel.
Mo to mahi kainga, tirohia mai i Derbycon 2016, e whakamarama ana me pehea te whakamahi a nga kaiwhaiwhai i nga tuhinga tuhi. A panui ano hoki mo nga tuhinga tuhi me etahi momo moniker.
Source: will.com