Энэ нийтлэл нь Fileless Malware цувралын нэг хэсэг юм. Цувралын бусад бүх хэсгүүд:
- Адал явдал, IV хэсэг: DDE болон Word баримтын талбарууд (бид энд байна)
Энэ нийтлэлд би систем дээр бэхлэгдсэн илүү төвөгтэй олон үе шаттай файлгүй халдлагын хувилбарт шумбах гэж байсан. Гэхдээ дараа нь би гайхалтай энгийн, кодгүй халдлагатай тулгарсан - ямар ч Word эсвэл Excel макро шаардлагагүй! Энэ нь энэ цуврал нийтлэлийн үндэс болсон миний анхны таамаглалыг илүү үр дүнтэй баталж байна: аливаа байгууллагын гаднах периметрийг эвдэх нь тийм ч хэцүү ажил биш юм.
Миний тайлбарлах эхний халдлага нь Microsoft Word програмын эмзэг байдлыг ашигладаг хуучирсан (DDE). Тэр аль хэдийн байсан . Хоёр дахь нь Microsoft COM болон объект дамжуулах чадварын ерөнхий сул талыг ашигладаг.
DDE-тэй ирээдүй рүү буцах
DDE-г санаж байгаа хүн байна уу? Олон биш байх. Энэ нь анхныхуудын нэг байсан програмууд болон төхөөрөмжүүдэд өгөгдөл дамжуулах боломжийг олгодог процесс хоорондын харилцааны протоколууд.
Харилцаа холбооны тоног төхөөрөмжийг шалгаж, туршдаг байсан болохоор би өөрөө бага зэрэг мэддэг. Тухайн үед DDE нь жишээ нь дуудлагын төвийн операторуудад дуудлага хийгчийн ID-г CRM програм руу шилжүүлэхийг зөвшөөрч, эцэст нь хэрэглэгчийн картыг нээж өгсөн. Үүнийг хийхийн тулд та утас болон компьютерийнхээ хооронд RS-232 кабелийг холбох хэрэгтэй. Тэр өдрүүд байсан!
Үүнээс харахад Microsoft Word хэвээр байна DDE.
Энэ халдлагыг кодгүйгээр үр дүнтэй болгодог зүйл бол та DDE протоколд хандах боломжтой юм шууд Word баримтын автомат талбаруудаас (SensePost-д зориулсан Үүний тухай).
Талбайн кодууд Энэ нь MS Word програмын өөр нэг эртний функц бөгөөд таны баримт бичигт динамик текст болон бага зэрэг програмчлал нэмэх боломжийг олгодог. Хамгийн тод жишээ бол хуудасны дугаар талбар бөгөөд үүнийг {PAGE *MERGEFORMAT} утгыг ашиглан хөл хэсэгт оруулж болно. Энэ нь хуудасны дугаарыг автоматаар үүсгэх боломжийг олгодог.
Зөвлөмж: Та "Insert" хэсгээс "Field" цэсийн зүйлийг олох боломжтой.
Би Word дээр энэ функцийг анх олж мэдээд гайхаж байснаа санаж байна. Засвар нь үүнийг идэвхгүй болгох хүртэл Word DDE талбаруудын сонголтыг дэмжсэн хэвээр байна. Үүний санаа нь DDE нь Word програмтай шууд холбогдох боломжийг олгодог бөгөөд ингэснээр програмын гаралтыг баримт бичигт дамжуулах боломжтой болно. Энэ нь тухайн үед маш залуу технологи байсан - гадны програмуудтай өгөгдөл солилцох дэмжлэг. Дараа нь үүнийг COM технологи болгон хөгжүүлсэн бөгөөд бид үүнийг доор авч үзэх болно.
Эцэст нь хакерууд энэхүү DDE программ нь командын бүрхүүл байж болохыг ойлгосон бөгөөд энэ нь мэдээж PowerShell-ийг эхлүүлсэн бөгөөд тэндээс хакерууд хүссэн бүхнээ хийж болно.
Доорх дэлгэцийн агшинд би энэхүү үл үзэгдэх техникийг хэрхэн ашигласан болохыг харуулж байна: DDE талбараас жижиг PowerShell скрипт (цаашид PS гэх) нь халдлагын хоёр дахь үе шатыг эхлүүлсэн өөр PS скриптийг ачаалж байна.
Суурилуулсан DDEAUTO талбар нь бүрхүүлийг нууцаар эхлүүлэхийг оролдож байна гэсэн гарч ирэх анхааруулга өгсөнд Windows-д баярлалаа.
Эмзэг байдлыг ашиглах хамгийн тохиромжтой арга бол скриптийг автоматаар ажиллуулдаг DDEAUTO талбартай хувилбарыг ашиглах явдал юм. нээх үед Word баримт бичиг.
Энэ талаар юу хийж болох талаар бодож үзье.
Шинэхэн хакерын хувьд та жишээлбэл, Холбооны Татварын Албанаас ирсэн мэт дүр эсгэж фишинг имэйл илгээж, эхний шатанд DDEAUTO талбарыг PS скриптээр (үндсэндээ дусаагуур) оруулах боломжтой. Мөн та миний хийсэн шиг макро гэх мэт бодит кодчилол хийх шаардлагагүй
Хохирогч таны баримтыг нээж, суулгагдсан скриптийг идэвхжүүлж, хакер нь компьютерт ордог. Миний хувьд алсын PS скрипт нь зүгээр л мессеж хэвлэдэг, гэхдээ энэ нь PS Empire клиентийг хялбархан ажиллуулж болох бөгөөд энэ нь бүрхүүлд алсаас хандах боломжийг олгоно.
Хохирогчийг юу ч хэлж амжаагүй байхад хакерууд тосгоны хамгийн баян өсвөр насныхан болж хувирна.
Бүрхүүлийг өчүүхэн ч кодчилолгүйгээр хөөргөсөн. Хүүхэд ч гэсэн үүнийг хийж чадна!
DDE болон талбарууд
Дараа нь Microsoft Word дээр DDE-г идэвхгүй болгосон боловч тус компани уг функцийг буруу ашигласан гэж мэдэгдээгүй байна. Тэдний юуг ч өөрчлөх дургүй байгаа нь ойлгомжтой. Би өөрийн туршлагаас харахад баримт бичгийг нээх үед талбаруудыг шинэчлэх боломжтой байсан ч Word-ийн макрог IT идэвхгүй болгосон жишээг би өөрөө харсан (гэхдээ мэдэгдлийг харуулсан). Дашрамд хэлэхэд та Word тохиргооны хэсгээс тохирох тохиргоог олох боломжтой.
Гэсэн хэдий ч талбарын шинэчлэлт идэвхжсэн байсан ч дээрх DDE-ийн нэгэн адил талбар устгагдсан өгөгдөлд хандах хүсэлт гаргах үед Microsoft Word хэрэглэгчдэд нэмэлт мэдэгдэнэ. Майкрософт танд үнэхээр анхааруулж байна.
Гэхдээ хэрэглэгчид энэ анхааруулгыг үл тоомсорлож, Word програмын талбаруудын шинэчлэлтийг идэвхжүүлэх магадлалтай. Энэ бол аюултай DDE функцийг идэвхгүй болгосон Microsoft-д талархах ховор боломжуудын нэг юм.
Өнөөдөр засвар хийгдээгүй Windows системийг олоход хэр хэцүү байна вэ?
Энэ туршилтын хувьд би виртуал ширээний компьютерт хандахын тулд AWS Workspaces ашигласан. Ингэснээр би DDEAUTO талбарыг оруулах боломжийг олгосон засвар хийгдээгүй MS Office виртуал машинтай болсон. Үүнтэй ижил аргаар та шаардлагатай хамгаалалтын засваруудыг суулгаагүй байгаа бусад компаниудыг олж чадна гэдэгт би эргэлзэхгүй байна.
Объектуудын нууц
Хэдийгээр та энэ нөхөөсийг суулгасан ч гэсэн MS Office программ дээр хакеруудад бидний Word дээр хийсэнтэй маш төстэй зүйлийг хийх боломжийг олгодог хамгаалалтын бусад цоорхойнууд бий. Дараагийн хувилбарт бид суралцах болно Excel програмыг ямар ч код бичихгүйгээр фишинг халдлагад өгөөш болгон ашигла.
Энэ хувилбарыг ойлгохын тулд Microsoft Component Object Model буюу товчоор санацгаая COM (Компонент объектын загвар).
COM нь 1990-ээд оноос хойш бий болсон бөгөөд RPC алсын процедурын дуудлагад суурилсан "хэлний төвийг сахисан, объект хандалтат бүрэлдэхүүн хэсэг" гэж тодорхойлогддог. COM нэр томъёоны талаархи ерөнхий ойлголтыг уншина уу StackOverflow дээр.
Үндсэндээ та COM програмыг Excel эсвэл Word программ эсвэл бусад ажилладаг хоёртын файл гэж ойлгож болно.
COM програм бас ажиллах боломжтой болж байна хувилбар — JavaScript эсвэл VBScript. Техникийн хувьд үүнийг нэрлэдэг скрипт. Та Windows дээрх файлуудад зориулсан .sct өргөтгөлийг харсан байж магадгүй - энэ нь скриптүүдийн албан ёсны өргөтгөл юм. Үндсэндээ эдгээр нь XML боодолтой скрипт код юм:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Хакерууд болон пентестерүүд Windows-д COM объект, үүний дагуу скриптүүдийг хүлээн зөвшөөрдөг тусдаа хэрэгслүүд, програмууд байдгийг олж мэдсэн.
Би pubprn гэж нэрлэгддэг VBS дээр бичигдсэн Windows хэрэгсэлд скриптийг дамжуулж чадна. Энэ нь C:Windowssystem32Printing_Admin_Scripts-ийн гүнд байрладаг. Дашрамд хэлэхэд объектуудыг параметр болгон хүлээн зөвшөөрдөг бусад Windows хэрэгслүүд байдаг. Эхлээд энэ жишээг харцгаая.
Бүрхүүлийг хэвлэх скриптээс ч ажиллуулж болох нь мэдээжийн хэрэг юм. Майкрософт руу яв!
Туршилтын хувьд би энгийн алсын зайнаас скрипт бүтээсэн бөгөөд энэ нь бүрхүүлийг ажиллуулж, "Чи дөнгөж сая скрипт бичсэн байна" гэсэн хөгжилтэй мессежийг хэвлэв. Үндсэндээ pubprn нь скриптийн объектыг үүсгэн VBScript кодыг боодол ажиллуулах боломжийг олгодог. Энэ арга нь таны системд нууцаар нэвтэрч, нуугдах хүсэлтэй хакеруудад илт давуу талтай.
Дараагийн нийтлэлд би COM скриптүүдийг Excel хүснэгт ашиглан хакерууд хэрхэн ашиглаж болохыг тайлбарлах болно.
Гэрийн даалгавраа хараарай Хакерууд скриптүүдийг хэрхэн ашиглаж байсныг яг таг тайлбарласан Derbycon 2016-аас. Бас унш скрипт болон зарим төрлийн нэрийн тухай.
Эх сурвалж: www.habr.com