Artikel ini adalah sebahagian daripada siri Perisian Hasad Tanpa Fail. Semua bahagian lain siri ini:
- (kita berada di sini)
Dalam siri artikel ini, kami meneroka kaedah serangan yang memerlukan usaha minimum daripada penggodam. Pada masa lalu Kami telah membincangkan bahawa adalah mungkin untuk memasukkan kod itu sendiri ke dalam muatan medan auto DDE dalam Microsoft Word. Dengan membuka dokumen sebegitu yang dilampirkan pada e-mel pancingan data, pengguna yang tidak berhati-hati akan membenarkan penyerang bertapak di komputernya. Walau bagaimanapun, pada penghujung tahun 2017, Microsoft celah ini untuk serangan terhadap DDE.
Pembaikan itu menambah entri pendaftaran yang melumpuhkan fungsi DDE dalam Word. Jika anda masih memerlukan fungsi ini, maka anda boleh mengembalikan pilihan ini dengan mendayakan keupayaan DDE lama.
Walau bagaimanapun, patch asal hanya meliputi Microsoft Word. Adakah kelemahan DDE ini wujud dalam produk Microsoft Office lain yang juga boleh dieksploitasi dalam serangan tanpa kod? Ya pasti. Sebagai contoh, anda juga boleh mencarinya dalam Excel.
Malam DDE Yang Hidup
Saya masih ingat bahawa kali terakhir saya berhenti di penerangan skrip COM. Saya berjanji bahawa saya akan menghubungi mereka kemudian dalam artikel ini.
Sementara itu, mari kita lihat satu lagi sisi jahat DDE dalam versi Excel. Sama seperti dalam Word, beberapa ciri tersembunyi DDE dalam Excel membolehkan anda melaksanakan kod tanpa banyak usaha. Sebagai pengguna Word yang membesar, saya sudah biasa dengan medan, tetapi tidak sama sekali tentang fungsi dalam DDE.
Saya kagum apabila mengetahui bahawa dalam Excel saya boleh memanggil shell dari sel seperti yang ditunjukkan di bawah:
Adakah anda tahu bahawa ini mungkin? Secara peribadi, saya tidak
Keupayaan untuk melancarkan shell Windows ini adalah ihsan DDE. Anda boleh memikirkan banyak perkara lain
Aplikasi yang boleh anda sambungkan menggunakan fungsi DDE terbina dalam Excel.
Adakah anda memikirkan perkara yang sama yang saya fikirkan?
Biarkan arahan dalam sel kami memulakan sesi PowerShell yang kemudiannya memuat turun dan melaksanakan pautan - ini , yang telah kami gunakan sebelum ini. Lihat di bawah:
Cuma tampal sedikit PowerShell untuk memuatkan dan menjalankan kod jauh dalam Excel
Tetapi ada tangkapan: anda mesti memasukkan data ini secara eksplisit ke dalam sel untuk formula ini berfungsi dalam Excel. Bagaimanakah penggodam boleh melaksanakan arahan DDE ini dari jauh? Hakikatnya ialah apabila jadual Excel dibuka, Excel akan cuba mengemas kini semua pautan dalam DDE. Tetapan Pusat Amanah telah lama mempunyai keupayaan untuk melumpuhkan ini atau memberi amaran apabila mengemas kini pautan ke sumber data luaran.
Walaupun tanpa tampung terkini, anda boleh melumpuhkan pengemaskinian pautan automatik dalam DDE
Microsoft pada asalnya sendiri Syarikat pada tahun 2017 harus melumpuhkan kemas kini pautan automatik untuk mengelakkan kerentanan DDE dalam Word dan Excel. Pada Januari 2018, Microsoft mengeluarkan patch untuk Excel 2007, 2010 dan 2013 yang melumpuhkan DDE secara lalai. ini Computerworld menerangkan semua butiran tampalan.
Nah, bagaimana dengan log peristiwa?
Microsoft bagaimanapun meninggalkan DDE untuk MS Word dan Excel, dengan itu akhirnya menyedari bahawa DDE lebih seperti pepijat daripada fungsi. Jika atas sebab tertentu anda masih belum memasang patch ini, anda masih boleh mengurangkan risiko serangan DDE dengan melumpuhkan kemas kini pautan automatik dan mendayakan tetapan yang menggesa pengguna mengemas kini pautan apabila membuka dokumen dan hamparan.
Sekarang soalan berjuta dolar: Jika anda menjadi mangsa serangan ini, adakah sesi PowerShell yang dilancarkan dari medan Word atau sel Excel akan muncul dalam log?
Soalan: Adakah sesi PowerShell dilancarkan melalui DDE dilog? Jawapan: ya
Apabila anda menjalankan sesi PowerShell terus daripada sel Excel dan bukannya sebagai makro, Windows akan log peristiwa ini (lihat di atas). Pada masa yang sama, saya tidak boleh mendakwa bahawa adalah mudah bagi pasukan keselamatan untuk menyambungkan semua titik antara sesi PowerShell, dokumen Excel dan mesej e-mel dan memahami di mana serangan itu bermula. Saya akan kembali kepada perkara ini dalam artikel terakhir dalam siri saya yang tidak berkesudahan mengenai perisian hasad yang sukar difahami.
Bagaimana COM kami?
Dalam sebelumnya Saya menyentuh topik skrip COM. Mereka selesa dalam diri mereka sendiri. , yang membolehkan anda menghantar kod, katakan JScript, hanya sebagai objek COM. Tetapi kemudian skrip kecil itu ditemui oleh penggodam, dan ini membolehkan mereka bertapak di komputer mangsa tanpa menggunakan alat yang tidak diperlukan. ini daripada Derbycon menunjukkan alat Windows terbina dalam seperti regsrv32 dan rundll32 yang mengambil skriplet jauh sebagai hujah, dan penggodam pada dasarnya menjalankan serangan mereka tanpa bantuan perisian hasad. Seperti yang saya tunjukkan pada kali terakhir, anda boleh menjalankan arahan PowerShell dengan mudah menggunakan skrip JScript.
Ternyata seseorang itu sangat bijak menemui cara untuk menjalankan skriplet COM Π² dokumen Excel. Dia mendapati bahawa apabila dia cuba memasukkan pautan ke dokumen atau gambar ke dalam sel, pakej tertentu telah dimasukkan ke dalamnya. Dan pakej ini secara senyap-senyap menerima skrip kecil sebagai input (lihat di bawah).
Boom! Satu lagi kaedah senyap dan senyap untuk melancarkan shell menggunakan skrip COM
Selepas pemeriksaan kod peringkat rendah, penyelidik mengetahui apa itu sebenarnya pepijat dalam perisian pakej. Ia tidak bertujuan untuk menjalankan skrip COM, tetapi hanya untuk memaut ke fail. Saya tidak pasti sama ada sudah ada tampalan untuk kelemahan ini. Dalam kajian saya sendiri menggunakan Amazon WorkSpaces dengan Office 2010 diprapasang, saya dapat meniru hasilnya. Walau bagaimanapun, apabila saya mencuba lagi sedikit kemudian, ia tidak berjaya.
Saya sangat berharap bahawa saya memberitahu anda banyak perkara menarik dan pada masa yang sama menunjukkan bahawa penggodam boleh menembusi syarikat anda dalam satu atau lain cara yang serupa. Walaupun anda memasang semua tampung Microsoft terkini, penggodam masih mempunyai banyak alatan untuk bertapak dalam sistem anda, daripada makro VBA yang saya mulakan siri ini kepada muatan berniat jahat dalam Word atau Excel.
Dalam artikel terakhir (saya berjanji) dalam saga ini, saya akan bercakap tentang cara menyediakan perlindungan pintar.
Sumber: www.habr.com