Энэ нийтлэл нь Fileless Malware цувралын нэг хэсэг юм. Цувралын бусад бүх хэсгүүд:
Баршгүй Малваригийн адал явдал, I хэсэг Боломжгүй хортой програмын адал явдал II хэсэг: Далд VBA скриптүүд Бартаашгүй хортой програмын адал явдал, III хэсэг: Инээд ба ашгийн төлөө орооцолдсон VBA скриптүүд Адал явдал нь баригдашгүй хортой програм, IV хэсэг: DDE болон Word баримт бичгийн талбарууд Адал явдал нь баригдашгүй хортой програм, V хэсэг: Илүү олон DDE болон COM скриптүүд (Бид энд байна)
Энэ цуврал нийтлэлд бид хакеруудаас хамгийн бага хүчин чармайлт шаарддаг халдлагын аргуудыг судлах болно. Өнгөрсөнд
Засвар нь идэвхгүй болгох бүртгэлийн оруулгыг нэмдэг DDE функцууд Word дээр. Хэрэв танд энэ функц хэрэгтэй хэвээр байгаа бол хуучин DDE боломжуудыг идэвхжүүлснээр энэ сонголтыг буцааж болно.
Гэсэн хэдий ч анхны засвар нь зөвхөн Microsoft Word-ыг хамарсан. Эдгээр DDE-ийн эмзэг байдал нь Microsoft Office-ийн бусад бүтээгдэхүүнүүдэд байдаг бөгөөд тэдгээрийг кодгүй халдлагад ашиглаж болох уу? Тийм ээ, мэдээж. Жишээлбэл, та тэдгээрийг Excel-ээс олж болно.
Амьд шөнө DDE
Би хамгийн сүүлд COM скриптүүдийн тайлбар дээр зогссоноо санаж байна. Би энэ өгүүллийн дараа тэдэнтэй уулзах болно гэж амлаж байна.
Энэ хооронд Excel хувилбар дээрх DDE-ийн өөр нэг муу талыг харцгаая. Яг л Word дээрх шиг, зарим нь Excel дээрх DDE-ийн далд боломжууд маш их хүчин чармайлтгүйгээр кодыг гүйцэтгэх боломжийг танд олгоно. Өсөж төрсөн Word хэрэглэгчийн хувьд би талбаруудыг мэддэг байсан ч DDE-ийн функцүүдийн талаар огт мэддэггүй.
Excel дээр доор үзүүлсэн шиг нүднээсээ бүрхүүлийг дуудаж болохыг мэдээд би гайхсан.
Энэ боломжтой гэдгийг та мэдэх үү? Би хувьдаа тэгдэггүй
Windows бүрхүүлийг ажиллуулах энэхүү чадвар нь DDE-ийн зөвшөөрөлтэй. Та өөр олон зүйлийг бодож болно
Excel-ийн суурилуулсан DDE функцийг ашиглан холбогдох боломжтой програмууд.
Чи миний бодож байгаа зүйлтэй адилхан гэж бодож байна уу?
Бидний үүрэн доторх командыг PowerShell сесс эхлүүлж, дараа нь холбоосыг татаж аваад ажиллуулна уу
Excel-д алсын кодыг ачаалж ажиллуулахын тулд бага зэрэг PowerShell-г буулгахад л хангалттай
Гэхдээ нэг зүйл бий: Excel дээр ажиллахын тулд та энэ томъёог нүд рүү шууд оруулах ёстой. Хакер яаж энэ DDE командыг алсаас гүйцэтгэх вэ? Үнэн хэрэгтээ Excel хүснэгт нээлттэй үед Excel нь DDE дахь бүх холбоосыг шинэчлэхийг оролдох болно. Итгэмжлэлийн төвийн тохиргоо нь үүнийг идэвхгүй болгох эсвэл гадаад мэдээллийн эх сурвалжийн холбоосыг шинэчлэх үед анхааруулах чадвартай байдаг.
Хамгийн сүүлийн үеийн засваргүй байсан ч та DDE-д холбоосын автомат шинэчлэлтийг идэвхгүй болгож болно
Microsoft анх өөрөө
За, үйл явдлын бүртгэлийг яах вэ?
Гэсэн хэдий ч Майкрософт MS Word болон Excel-д зориулсан DDE-г орхисон бөгөөд ингэснээр DDE нь функциональ гэхээсээ илүү алдаатай адил гэдгийг хүлээн зөвшөөрсөн. Хэрэв та ямар нэг шалтгааны улмаас эдгээр засваруудыг суулгаагүй байгаа бол автомат холбоосын шинэчлэлтийг идэвхгүй болгож, баримт бичиг болон хүснэгтийг нээх үед хэрэглэгчдэд холбоосыг шинэчлэх тохиргоог идэвхжүүлснээр DDE халдлагын эрсдлийг бууруулж чадна.
Одоо сая долларын асуулт: Хэрэв та энэ халдлагын хохирогч бол Word талбарууд эсвэл Excel нүднүүдээс эхлүүлсэн PowerShell сессүүд бүртгэлд харагдах уу?
Асуулт: DDE-ээр эхлүүлсэн PowerShell сессүүд бүртгэлд орсон уу? Хариулт: тиймээ
Та PowerShell сешнүүдийг макро хэлбэрээр биш Excel нүднээс шууд ажиллуулах үед Windows эдгээр үйл явдлыг бүртгэх болно (дээрхийг харна уу). Үүний зэрэгцээ хамгаалалтын багийнхан PowerShell сесс, Excel документ болон имэйл мессежийн хоорондох бүх цэгүүдийг холбож, халдлага хаанаас эхэлснийг ойлгоход хялбар байх болно гэж би хэлж чадахгүй. Би энэ талаар эцэс төгсгөлгүй цувралынхаа сүүлчийн нийтлэлд буцаж ирэх болно.
Манай COM ямар байна?
Өмнөх хэсэгт
Нэг нь их ухаантай болох нь тогтоогдсон
Өсөлт! COM скрипт ашиглан бүрхүүлийг эхлүүлэх өөр нэг нууцлаг, чимээгүй арга
Доод түвшний кодын шалгалтын дараа судлаач энэ нь юу болохыг олж мэдэв алдаа багц програм хангамжид. Энэ нь COM скриптүүдийг ажиллуулах зорилгогүй, зөвхөн файлуудтай холбох зорилготой байсан. Энэ эмзэг байдлын нөхөөс байгаа эсэхийг би сайн мэдэхгүй байна. Office 2010-ыг урьдчилан суулгасан Amazon WorkSpaces-ийг ашиглан хийсэн судалгаагаар би үр дүнг давтаж чадсан. Гэсэн хэдий ч хэсэг хугацааны дараа дахин оролдоход бүтсэнгүй.
Би танд маш олон сонирхолтой зүйлийг хэлж, хакерууд танай компанид ижил төстэй байдлаар нэвтэрч чадна гэдгийг харуулсан гэдэгт би үнэхээр найдаж байна. Хэдийгээр та Microsoft-ын хамгийн сүүлийн үеийн бүх засваруудыг суулгасан ч хакерууд таны системд байр сууриа олох олон хэрэгсэлтэй хэвээр байна. Миний эхлүүлсэн VBA макроноос эхлээд Word эсвэл Excel-ийн хортой ачааллыг ашиглах хүртэл.
Энэхүү тууны сүүлчийн (би амлаж байна) нийтлэлд би ухаалаг хамгаалалтыг хэрхэн хангах талаар ярих болно.
Эх сурвалж: www.habr.com