Dan l-artikolu huwa parti mis-serje Fileless Malware. Il-partijiet l-oħra kollha tas-serje:
- (aħna qegħdin hawn)
F'din is-serje ta 'artikoli, nesploraw metodi ta' attakk li jeħtieġu sforz minimu min-naħa tal-hackers. Fil-passat Aħna koprejna li huwa possibbli li tiddaħħal il-kodiċi innifsu fil-payload tal-autofield DDE f'Microsoft Word. Billi jiftaħ dokument bħal dan mehmuż ma 'email ta' phishing, utent bla attenzjoni se jippermetti lill-attakkant li jakkwista pożizzjoni fuq il-kompjuter tiegħu. Madankollu, fl-aħħar tal-2017, Microsoft din il-lakuna għal attakki fuq DDE.
It-tiswija żżid dħul tar-reġistru li tiddiżattiva Funzjonijiet DDE fil-Kelma. Jekk għad għandek bżonn din il-funzjonalità, allura tista' tirritorna din l-għażla billi tippermetti l-kapaċitajiet DDE qodma.
Madankollu, il-garża oriġinali kopriet biss Microsoft Word. Dawn il-vulnerabbiltajiet DDE jeżistu fi prodotti oħra tal-Microsoft Office li jistgħu wkoll jiġu sfruttati f'attakki mingħajr kodiċi? Iva, żgur. Per eżempju, tista 'ssibhom ukoll f'Excel.
Lejl tal-Ħajja DDE
Niftakar li l-aħħar darba waqaft għad-deskrizzjoni ta 'scriptlets COM. Inwiegħed li ser nasal għalihom aktar tard f'dan l-artikolu.
Sadanittant, ejja nħarsu lejn naħa ħażen oħra ta 'DDE fil-verżjoni Excel. Eżatt bħal fil-Kelma, xi wħud karatteristiċi moħbija ta 'DDE f'Excel jippermettulek tesegwixxi kodiċi mingħajr ħafna sforz. Bħala utent tal-Word li kiber, kont familjari mal-oqsma, iżda xejn dwar il-funzjonijiet fid-DDE.
Bqajt mistagħġeb meta tgħallem li f'Excel nista' nsejjaħ qoxra minn ċellola kif muri hawn taħt:
Kont taf li dan kien possibbli? Personalment, jien ma
Din il-ħila li tniedi qoxra tal-Windows hija korteżija ta 'DDE. Tista' taħseb f'ħafna affarijiet oħra
Applikazzjonijiet li tista' tikkonnettja magħhom billi tuża l-funzjonijiet DDE integrati ta' Excel.
Qed taħseb l-istess ħaġa li qed naħseb jien?
Ħalli l-kmand tagħna fiċ-ċellula jibda sessjoni PowerShell li mbagħad tniżżel u tesegwixxi l-link - dan , li diġà użajna qabel. Ara isfel:
Biss waħħal ftit PowerShell biex tagħbija u tħaddem kodiċi remot f'Excel
Iżda hemm qabda: trid iddaħħal b'mod espliċitu din id-dejta fiċ-ċellula biex din il-formula taħdem f'Excel. Kif jista' hacker jesegwixxi dan il-kmand DDE mill-bogħod? Il-fatt hu li meta tabella Excel tkun miftuħa, Excel jipprova jaġġorna l-links kollha f'DDE. Is-settings taċ-Ċentru ta' Fiduċja ilhom żmien twil ikollhom il-kapaċità li jiskonnettjaw dan jew iwissu meta jaġġornaw links għal sorsi esterni tad-dejta.
Anke mingħajr l-aħħar garża, tista 'tiddiżattiva l-aġġornament awtomatiku tal-link f'DDE
Microsoft oriġinarjament innifsu Kumpaniji fl-2017 għandhom jiskonnettjaw aġġornamenti awtomatiċi tal-links biex jipprevjenu vulnerabbiltajiet DDE f'Word u Excel. F'Jannar 2018, Microsoft ħarġet irqajja għal Excel 2007, 2010 u 2013 li jiskonnettjaw id-DDE b'mod awtomatiku. Dan Computerworld jiddeskrivi d-dettalji kollha tal-garża.
Ukoll, xi ngħidu dwar il-ġurnali tal-avvenimenti?
Microsoft madankollu abbandunat id-DDE għall-MS Word u l-Excel, u b'hekk finalment għaraf li DDE huwa aktar bħal bug milli funzjonalità. Jekk għal xi raġuni għadek ma installajtx dawn l-irqajja’, xorta tista’ tnaqqas ir-riskju ta’ attakk DDE billi tiddiżattiva l-aġġornamenti awtomatiċi tal-links u tippermetti settings li jqanqlu lill-utenti jaġġornaw il-links meta jiftħu dokumenti u spreadsheets.
Issa l-mistoqsija ta 'miljun dollaru: Jekk inti vittma ta' dan l-attakk, is-sessjonijiet PowerShell imnedija minn oqsma Word jew ċelloli Excel jidhru fil-log?
Mistoqsija: Is-sessjonijiet ta' PowerShell huma mnedija permezz ta' DDE logged? Tweġiba: iva
Meta tmexxi s-sessjonijiet tal-PowerShell direttament minn ċellula Excel aktar milli bħala makro, Windows ser jirreġistra dawn l-avvenimenti (ara hawn fuq). Fl-istess ħin, ma nistax nippretendi li se jkun faċli għat-tim tas-sigurtà li mbagħad jgħaqqad it-tikek kollha bejn is-sessjoni PowerShell, id-dokument Excel u l-messaġġ elettroniku u jifhem fejn beda l-attakk. Ser niġi lura għal dan fl-aħħar artiklu fis-serje li ma tispiċċa qatt tiegħi dwar il-malware elużiv.
Kif inhi l-COM tagħna?
Fil-preċedenti I mimsus fuq is-suġġett ta 'scriptlets COM. Huma konvenjenti fihom infushom. , li jippermettilek tgħaddi kodiċi, ngħidu aħna JScript, sempliċement bħala oġġett COM. Iżda mbagħad l-iskriptlets ġew skoperti mill-hackers, u dan ippermettahom li jiksbu post fuq il-kompjuter tal-vittma mingħajr l-użu ta 'għodod mhux meħtieġa. Dan minn Derbycon juri għodod Windows inkorporati bħal regsrv32 u rundll32 li jaċċettaw scriptlets remoti bħala argumenti, u l-hackers essenzjalment iwettqu l-attakk tagħhom mingħajr l-għajnuna ta 'malware. Kif urejt l-aħħar darba, tista 'faċilment tmexxi kmandi ta' PowerShell billi tuża scriptlet JScript.
Irriżulta li wieħed huwa intelliġenti ħafna sabet mod kif tmexxi scriptlet COM в Dokument Excel. Skopri li meta pprova jdaħħal link għal dokument jew stampa ġo ċellola, daħħal ċertu pakkett fiha. U dan il-pakkett bil-kwiet jaċċetta scriptlet remot bħala input (ara hawn taħt).
Boom! Metodu ieħor stealthy, sieket biex tniedi qoxra bl-użu ta 'scriptlets COM
Wara spezzjoni ta 'kodiċi ta' livell baxx, ir-riċerkatur sab x'inhu verament bug fis-software tal-pakkett. Ma kienx maħsub biex iħaddem scriptlets COM, iżda biss biex jgħaqqad mal-fajls. M'inix ċert jekk diġà hemmx garża għal din il-vulnerabbiltà. Fl-istudju tiegħi stess bl-użu ta' Amazon WorkSpaces b'Office 2010 installat minn qabel, stajt nirreplika r-riżultati. Madankollu, meta erġajt ippruvajt ftit wara, ma ħadmitx.
Verament nittama li għidtlek ħafna affarijiet interessanti u fl-istess ħin wriet li l-hackers jistgħu jippenetraw il-kumpanija tiegħek b'xi mod jew ieħor simili. Anke jekk tinstalla l-aħħar garżi kollha tal-Microsoft, il-hackers għad għandhom ħafna għodod biex jiksbu post fis-sistema tiegħek, mill-macros VBA li bdejt din is-serje bihom għal payloads malizzjużi f'Word jew Excel.
Fl-artikolu finali (nwiegħed) f'din is-saga, ser nitkellem dwar kif tipprovdi protezzjoni intelliġenti.
Sors: www.habr.com