Dan l-artikolu huwa parti mis-serje Fileless Malware. Il-partijiet l-oħra kollha tas-serje:
- L-Avventuri tal-Malware Elusive, Parti IV: DDE u Oqsma tad-Dokument Word (aħna qegħdin hawn)
F'dan l-artikolu, kont se nidħol f'xenarju ta 'attakk mingħajr fajl f'diversi stadji saħansitra aktar kumpless b'pinning fuq is-sistema. Imma mbagħad iltqajt ma' attakk oerhört sempliċi, mingħajr kodiċi—l-ebda macros Word jew Excel meħtieġa! U dan juri b'mod ħafna aktar effettiv l-ipoteżi oriġinali tiegħi li hija sottostanti din is-serje ta 'artikoli: it-tkissir tal-perimetru ta' barra ta 'kwalunkwe organizzazzjoni mhu biċċa xogħol diffiċli xejn.
L-ewwel attakk li ser niddeskrivi jisfrutta vulnerabbiltà tal-Microsoft Word li hija bbażata fuqha skaduti (DDE). Kienet diġà . It-tieni jisfrutta vulnerabbiltà aktar ġenerali f'Microsoft COM u kapaċitajiet ta 'trasferiment ta' oġġetti.
Lura għall-futur b'DDE
Xi ħadd ieħor jiftakar DDE? Probabbilment mhux ħafna. Kien wieħed mill-ewwel protokolli ta' komunikazzjoni bejn il-proċessi li ppermettew applikazzjonijiet u apparati jittrasferixxu data.
Jiena jien ftit familjari magħha għax kont niċċekkja u nittestja t-tagħmir tat-telekomunikazzjoni. F'dak iż-żmien, DDE ppermetta, pereżempju, l-operaturi taċ-ċentru tat-telefonati biex jittrasferixxu l-ID tas-sejjieħ għal applikazzjoni tas-CRM, li finalment fetħet karta tal-klijent. Biex tagħmel dan, kellek tqabbad kejbil RS-232 bejn it-telefon u l-kompjuter tiegħek. Dawk kienu l-jiem!
Kif jirriżulta, Microsoft Word għadu DDE.
Dak li jagħmel dan l-attakk effettiv mingħajr kodiċi huwa li tista 'taċċessa l-protokoll DDE direttament minn oqsma awtomatiċi f'dokument Word (off kpiepel għal SensePost għal fuqha).
Kodiċi tal-qasam hija karatteristika oħra antika tal-MS Word li tippermettilek iżżid test dinamiku u daqsxejn ta' programmazzjoni mad-dokument tiegħek. L-aktar eżempju ovvju huwa l-qasam tan-numru tal-paġna, li jista’ jiddaħħal fil-footer bl-użu tal-valur {PAGE *MERGEFORMAT}. Dan jippermetti li n-numri tal-paġna jiġu ġġenerati awtomatikament.
Ħjiel: Tista' ssib l-oġġett tal-menu Qasam taħt Daħħal.
Niftakar li meta skoprejt din il-karatteristika fil-Kelma għall-ewwel darba, bqajt mistagħġeb. U sakemm il-garża ddiżattivaha, Word xorta appoġġja l-għażla tal-oqsma DDE. L-idea kienet li DDE jippermetti lil Word tikkomunika direttament mal-applikazzjoni, sabiex imbagħad tkun tista' tgħaddi l-output tal-programm f'dokument. Dak iż-żmien kienet teknoloġija żgħira ħafna - appoġġ għall-iskambju tad-dejta ma 'applikazzjonijiet esterni. Aktar tard ġie żviluppat f'teknoloġija COM, li se nħarsu lejha wkoll hawn taħt.
Eventwalment, il-hackers indunaw li din l-applikazzjoni DDE tista 'tkun qoxra ta' kmand, li ovvjament nediet PowerShell, u minn hemm il-hackers setgħu jagħmlu dak kollu li riedu.
Il-screenshot hawn taħt turi kif użajt din it-teknika stealth: script PowerShell żgħir (minn hawn 'il quddiem imsejjaħ PS) mill-qasam DDE jgħabbi skript PS ieħor, li jniedi t-tieni fażi tal-attakk.
Grazzi lill-Windows għat-twissija pop-up li l-qasam DDEAUTO mibni qed jipprova b'mod sigriet jibda l-qoxra
Il-metodu preferut biex tiġi sfruttata l-vulnerabbiltà huwa li tuża varjant bil-qasam DDEAUTO, li awtomatikament imexxi l-iskrittura meta tiftaħ Dokument tal-kelma.
Ejja naħsbu dwar x'nistgħu nagħmlu dwar dan.
Bħala hacker novizzi, tista ', pereżempju, tibgħat email ta' phishing, tippretendi li inti mis-Servizz Federali tat-Taxxa, u daħħal il-qasam DDEAUTO bl-iskrittura PS għall-ewwel stadju (droper, essenzjalment). U lanqas m'għandek bżonn tagħmel xi kodifikazzjoni reali ta' macros, eċċ, bħalma għamilt jien
Il-vittma tiftaħ id-dokument tiegħek, l-iskritt inkorporat jiġi attivat, u l-hacker jispiċċa ġewwa l-kompjuter. Fil-każ tiegħi, l-iskript PS remot jistampa biss messaġġ, iżda jista 'faċilment iniedi l-klijent PS Empire, li se jipprovdi aċċess remot tal-qoxra.
U qabel ma l-vittma jkollha ħin biex tgħid xi ħaġa, il-hackers se jirriżultaw li huma l-aktar adoloxxenti sinjuri fir-raħal.
Il-qoxra tnediet mingħajr l-iċken daqsxejn ta 'kodifikazzjoni. Anke tifel jista’ jagħmel dan!
DDE u oqsma
Microsoft aktar tard iddiżattiva DDE fil-Word, iżda mhux qabel ma l-kumpanija ddikjarat li l-karatteristika kienet sempliċement użata ħażin. Ir-riluttanza tagħhom biex ibiddlu xi ħaġa tinftiehem. Fl-esperjenza tiegħi, jien stess rajt eżempju fejn l-aġġornament tal-oqsma meta jinfetaħ dokument kien attivat, iżda l-macros tal-Word kienu diżattivati mill-IT (iżda li juru notifika). Mill-mod, tista 'ssib is-settings korrispondenti fit-taqsima tas-settings tal-Kelma.
Madankollu, anki jekk l-aġġornament tal-qasam huwa attivat, Microsoft Word wkoll jinnotifika lill-utent meta qasam jitlob aċċess għal data mħassra, kif inhu l-każ b'DDE hawn fuq. Microsoft verament qed twissik.
Iżda x'aktarx, l-utenti xorta se jinjoraw din it-twissija u jattivaw l-aġġornament tal-oqsma fil-Word. Din hija waħda mill-opportunitajiet rari biex nirringrazzja lil Microsoft talli ddiżattivat il-karatteristika perikoluża DDE.
Kemm hu diffiċli li ssib sistema tal-Windows li ma tkunx irranġata llum?
Għal dan l-ittestjar, użajt AWS Workspaces biex taċċessa desktop virtwali. B'dan il-mod sibt magna virtwali tal-MS Office mhux patched li ppermettietni ndaħħal il-field DDEAUTO. M'għandi l-ebda dubju li b'mod simili tista 'ssib kumpaniji oħra li għadhom ma installawx l-irqajja' ta' sigurtà meħtieġa.
Misteru ta 'oġġetti
Anke jekk installajt din il-garża, hemm toqob oħra tas-sigurtà fl-MS Office li jippermettu lill-hackers jagħmlu xi ħaġa simili ħafna għal dak li għamilna bil-Word. Fix-xenarju li jmiss se nitgħallmu uża Excel bħala lixka għal attakk ta' phishing mingħajr ma tikteb xi kodiċi.
Biex tifhem dan ix-xenarju, ejja niftakru l-Microsoft Component Object Model, jew fil-qosor COM (Mudell ta' Oġġett Komponent).
COM ilha sa mis-snin disgħin, u hija definita bħala "mudell ta' komponent newtrali għall-lingwa, orjentat lejn l-oġġett" ibbażat fuq sejħiet ta' proċedura remota RPC. Għal fehim ġenerali tat-terminoloġija COM, aqra fuq StackOverflow.
Bażikament, tista 'taħseb applikazzjoni COM bħala Excel jew Word eżekutibbli, jew xi fajl binarju ieħor li jaħdem.
Jirriżulta li applikazzjoni COM tista 'taħdem ukoll xenarju — JavaScript jew VBScript. Teknikament huwa msejjaħ scriptlet. Jista' jkun li rajt l-estensjoni .sct għall-fajls fil-Windows - din hija l-estensjoni uffiċjali għal scriptlets. Essenzjalment, huma kodiċi tal-iskript imgeżwer f'tgeżwir XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackers u pentesters skoprew li hemm utilitajiet u applikazzjonijiet separati fil-Windows li jaċċettaw oġġetti COM u, għaldaqstant, scriptlets ukoll.
Kapaċi ngħaddi scriptlet lil utilità tal-Windows miktuba f'VBS magħrufa bħala pubprn. Hija tinsab fil-fond ta 'C:Windowssystem32Printing_Admin_Scripts. Mill-mod, hemm utilitajiet Windows oħra li jaċċettaw oġġetti bħala parametri. Ejja nħarsu lejn dan l-eżempju l-ewwel.
Huwa pjuttost naturali li l-qoxra tista 'tiġi mnedija anke minn skript stampat. Mur Microsoft!
Bħala test, ħloqt scriptlet remot sempliċi li jniedi qoxra u jistampa messaġġ umoristiku, "Int għadek kif ġejt skriptjat!" Essenzjalment, pubprn tistanzia oġġett ta 'scriptlet, li jippermetti kodiċi VBScript biex imexxi wrapper. Dan il-metodu jipprovdi vantaġġ ċar lill-hackers li jixtiequ jidħlu u jaħbu fis-sistema tiegħek.
Fil-post li jmiss, ser nispjega kif scriptlets COM jistgħu jiġu sfruttati minn hackers li jużaw spreadsheets Excel.
Għax-xogħol tad-dar tiegħek, agħti ħarsa minn Derbycon 2016, li jispjega eżattament kif il-hackers użaw scriptlets. U aqra wkoll dwar scriptlets u xi tip ta’ moniker.
Sors: www.habr.com