Энэ нийтлэл нь Fileless Malware цувралын нэг хэсэг юм. Цувралын бусад бүх хэсгүүд:
- (Бид энд байна)
Энэ цуврал нийтлэлд бид хакеруудаас хамгийн бага хүчин чармайлт шаарддаг халдлагын аргуудыг судлах болно. Өнгөрсөнд Microsoft Word програмын DDE автомат талбарт кодыг өөрөө буулгах боломжтой гэдгийг бид тайлбарласан. Фишинг цахим шууданд хавсаргасан ийм баримт бичгийг нээснээр болгоомжгүй хэрэглэгч халдагчид компьютер дээрээ байр сууриа олох боломжийг олгоно. Гэсэн хэдий ч 2017 оны сүүлээр Майкрософт DDE дээр халдлага хийх цоорхой.
Засвар нь идэвхгүй болгох бүртгэлийн оруулгыг нэмдэг DDE функцууд Word дээр. Хэрэв танд энэ функц хэрэгтэй хэвээр байгаа бол хуучин DDE боломжуудыг идэвхжүүлснээр энэ сонголтыг буцааж болно.
Гэсэн хэдий ч анхны засвар нь зөвхөн Microsoft Word-ыг хамарсан. Эдгээр DDE-ийн эмзэг байдал нь Microsoft Office-ийн бусад бүтээгдэхүүнүүдэд байдаг бөгөөд тэдгээрийг кодгүй халдлагад ашиглаж болох уу? Тийм ээ, мэдээж. Жишээлбэл, та тэдгээрийг Excel-ээс олж болно.
Амьд шөнө DDE
Би хамгийн сүүлд COM скриптүүдийн тайлбар дээр зогссоноо санаж байна. Би энэ өгүүллийн дараа тэдэнтэй уулзах болно гэж амлаж байна.
Энэ хооронд Excel хувилбар дээрх DDE-ийн өөр нэг муу талыг харцгаая. Яг л Word дээрх шиг, зарим нь Excel дээрх DDE-ийн далд боломжууд маш их хүчин чармайлтгүйгээр кодыг гүйцэтгэх боломжийг танд олгоно. Өсөж төрсөн Word хэрэглэгчийн хувьд би талбаруудыг мэддэг байсан ч DDE-ийн функцүүдийн талаар огт мэддэггүй.
Excel дээр доор үзүүлсэн шиг нүднээсээ бүрхүүлийг дуудаж болохыг мэдээд би гайхсан.
Энэ боломжтой гэдгийг та мэдэх үү? Би хувьдаа тэгдэггүй
Windows бүрхүүлийг ажиллуулах энэхүү чадвар нь DDE-ийн зөвшөөрөлтэй. Та өөр олон зүйлийг бодож болно
Excel-ийн суурилуулсан DDE функцийг ашиглан холбогдох боломжтой програмууд.
Чи миний бодож байгаа зүйлтэй адилхан гэж бодож байна уу?
Бидний үүрэн доторх командыг PowerShell сесс эхлүүлж, дараа нь холбоосыг татаж аваад ажиллуулна уу , үүнийг бид өмнө нь ашиглаж байсан. Доор үзнэ үү:
Excel-д алсын кодыг ачаалж ажиллуулахын тулд бага зэрэг PowerShell-г буулгахад л хангалттай
Гэхдээ нэг зүйл бий: Excel дээр ажиллахын тулд та энэ томъёог нүд рүү шууд оруулах ёстой. Хакер яаж энэ DDE командыг алсаас гүйцэтгэх вэ? Үнэн хэрэгтээ Excel хүснэгт нээлттэй үед Excel нь DDE дахь бүх холбоосыг шинэчлэхийг оролдох болно. Итгэмжлэлийн төвийн тохиргоо нь үүнийг идэвхгүй болгох эсвэл гадаад мэдээллийн эх сурвалжийн холбоосыг шинэчлэх үед анхааруулах чадвартай байдаг.
Хамгийн сүүлийн үеийн засваргүй байсан ч та DDE-д холбоосын автомат шинэчлэлтийг идэвхгүй болгож болно
Microsoft анх өөрөө 2017 онд компаниуд Word болон Excel-ийн DDE-ийн эмзэг байдлаас урьдчилан сэргийлэхийн тулд автомат холбоосын шинэчлэлтийг идэвхгүй болгох хэрэгтэй. 2018 оны 2007-р сард Microsoft Excel 2010, 2013, XNUMX хувилбаруудад зориулж DDE-г анхдагчаар идэвхгүй болгосон засваруудыг гаргасан. Энэ Computerworld нь засварын бүх нарийн ширийн зүйлийг тайлбарладаг.
За, үйл явдлын бүртгэлийг яах вэ?
Гэсэн хэдий ч Майкрософт MS Word болон Excel-д зориулсан DDE-г орхисон бөгөөд ингэснээр DDE нь функциональ гэхээсээ илүү алдаатай адил гэдгийг хүлээн зөвшөөрсөн. Хэрэв та ямар нэг шалтгааны улмаас эдгээр засваруудыг суулгаагүй байгаа бол автомат холбоосын шинэчлэлтийг идэвхгүй болгож, баримт бичиг болон хүснэгтийг нээх үед хэрэглэгчдэд холбоосыг шинэчлэх тохиргоог идэвхжүүлснээр DDE халдлагын эрсдлийг бууруулж чадна.
Одоо сая долларын асуулт: Хэрэв та энэ халдлагын хохирогч бол Word талбарууд эсвэл Excel нүднүүдээс эхлүүлсэн PowerShell сессүүд бүртгэлд харагдах уу?
Асуулт: DDE-ээр эхлүүлсэн PowerShell сессүүд бүртгэлд орсон уу? Хариулт: тиймээ
Та PowerShell сешнүүдийг макро хэлбэрээр биш Excel нүднээс шууд ажиллуулах үед Windows эдгээр үйл явдлыг бүртгэх болно (дээрхийг харна уу). Үүний зэрэгцээ хамгаалалтын багийнхан PowerShell сесс, Excel документ болон имэйл мессежийн хоорондох бүх цэгүүдийг холбож, халдлага хаанаас эхэлснийг ойлгоход хялбар байх болно гэж би хэлж чадахгүй. Би энэ талаар эцэс төгсгөлгүй цувралынхаа сүүлчийн нийтлэлд буцаж ирэх болно.
Манай COM ямар байна?
Өмнөх хэсэгт Би COM скриптүүдийн сэдвийг хөндсөн. Тэд өөртөө тохиромжтой. , энэ нь танд код дамжуулах боломжийг олгодог, JScript гэж хэлээрэй, зүгээр л COM объект юм. Гэвч дараа нь скриптүүдийг хакерууд нээсэн бөгөөд энэ нь тэдэнд шаардлагагүй хэрэгсэл ашиглахгүйгээр хохирогчийн компьютер дээр байр сууриа олох боломжийг олгосон. Энэ Derbycon нь алсын скриптүүдийг аргумент болгон авдаг regsrv32, rundll32 зэрэг Windows-ийн суулгасан хэрэгслүүдийг харуулж байгаа бөгөөд хакерууд үндсэндээ хортой програмын тусламжгүйгээр халдлага үйлддэг. Миний сүүлчийн удаа харуулсанчлан, та PowerShell командуудыг JScript скрипт ашиглан хялбархан ажиллуулж болно.
Нэг нь их ухаантай болох нь тогтоогдсон COM скриптийг ажиллуулах аргыг олсон в Excel баримт бичиг. Баримт бичиг эсвэл зургийн линкийг нүдэнд оруулахыг оролдохдоо тодорхой багц дотор нь оруулсныг олж мэдсэн. Мөн энэ багц нь алсын скриптийг оролт болгон чимээгүйхэн хүлээн авдаг (доороос үзнэ үү).
Өсөлт! COM скрипт ашиглан бүрхүүлийг эхлүүлэх өөр нэг нууцлаг, чимээгүй арга
Доод түвшний кодын шалгалтын дараа судлаач энэ нь юу болохыг олж мэдэв алдаа багц програм хангамжид. Энэ нь COM скриптүүдийг ажиллуулах зорилгогүй, зөвхөн файлуудтай холбох зорилготой байсан. Энэ эмзэг байдлын нөхөөс байгаа эсэхийг би сайн мэдэхгүй байна. Office 2010-ыг урьдчилан суулгасан Amazon WorkSpaces-ийг ашиглан хийсэн судалгаагаар би үр дүнг давтаж чадсан. Гэсэн хэдий ч хэсэг хугацааны дараа дахин оролдоход бүтсэнгүй.
Би танд маш олон сонирхолтой зүйлийг хэлж, хакерууд танай компанид ижил төстэй байдлаар нэвтэрч чадна гэдгийг харуулсан гэдэгт би үнэхээр найдаж байна. Хэдийгээр та Microsoft-ын хамгийн сүүлийн үеийн бүх засваруудыг суулгасан ч хакерууд таны системд байр сууриа олох олон хэрэгсэлтэй хэвээр байна. Миний эхлүүлсэн VBA макроноос эхлээд Word эсвэл Excel-ийн хортой ачааллыг ашиглах хүртэл.
Энэхүү тууны сүүлчийн (би амлаж байна) нийтлэлд би ухаалаг хамгаалалтыг хэрхэн хангах талаар ярих болно.
Эх сурвалж: www.habr.com