တွေ့ရခဲသော Malware ၏စွန့်စားခန်းများ၊ အပိုင်း V- နောက်ထပ် DDE နှင့် COM Scriptlets

ဤဆောင်းပါးသည် Fileless Malware စီးရီး၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ စီးရီး၏အခြားအစိတ်အပိုင်းအားလုံး-

• Elusive Malvari ၏စွန့်စားခန်းများ၊ အပိုင်း ၁
• တွေ့ရခဲသော Malware Adventures အပိုင်း II- Hidden VBA Scripts
• တွေ့ရခဲသော Malware ၏စွန့်စားခန်းများ၊ အပိုင်း III- ရယ်မောခြင်းနှင့် အကျိုးအမြတ်အတွက် ရှုပ်ယှက်ခတ်နေသော VBA Scripts
• တွေ့ရခဲသော Malware ၏စွန့်စားခန်းများ၊ အပိုင်း IV- DDE နှင့် Word Document Fields
• တွေ့ရခဲသော Malware ၏စွန့်စားခန်းများ၊ အပိုင်း V- နောက်ထပ် DDE နှင့် COM Scriptlets (ငါတို့ဒီမှာ)

ဤဆောင်းပါးတွဲများတွင် ဟက်ကာများဘက်မှ အနည်းငယ်မျှသာ အားထုတ်မှု လိုအပ်သည့် တိုက်ခိုက်မှုနည်းလမ်းများကို စူးစမ်းလေ့လာပါသည်။ ယခင်တုန်းက ဆောင်းပါး Microsoft Word ရှိ DDE autofield payload တွင် ကုဒ်ကို ကိုယ်တိုင်ထည့်သွင်းရန် ဖြစ်နိုင်ကြောင်း ကျွန်ုပ်တို့ ခြုံငုံထားပါသည်။ ဖြားယောင်းသောအီးမေးလ်နှင့် ပူးတွဲပါရှိသော ဤစာရွက်စာတမ်းကိုဖွင့်ခြင်းဖြင့်၊ သတိမထားမိသောအသုံးပြုသူတစ်ဦးသည် တိုက်ခိုက်သူအား ၎င်း၏ကွန်ပျူတာပေါ်တွင် ခြေကုပ်ယူနိုင်စေမည်ဖြစ်သည်။ သို့သော် 2017 နှစ်ကုန်တွင် Microsoft သည် ပိတ်သိမ်း DDE ကို တိုက်ခိုက်ရန်အတွက် ဤကွက်လပ်။
ပြုပြင်မှုသည် ပိတ်ထားသော မှတ်ပုံတင်စာရင်းကို ထည့်သွင်းသည်။ DDE လုပ်ဆောင်ချက်များ Word တွင် အကယ်၍ သင်သည် ဤလုပ်ဆောင်ချက်ကို လိုအပ်သေးပါက၊ DDE စွမ်းရည်ဟောင်းကို ဖွင့်ခြင်းဖြင့် သင်သည် ဤရွေးချယ်မှုကို ပြန်ပေးနိုင်ပါသည်။

သို့သော်လည်း မူရင်း patch သည် Microsoft Word ကိုသာ အကျုံးဝင်ပါသည်။ No-code တိုက်ခိုက်မှုများတွင် အသုံးချနိုင်သော အခြားသော Microsoft Office ထုတ်ကုန်များတွင် အဆိုပါ DDE အားနည်းချက်များ ရှိနေပါသလား။ ဟုတ်ပါတယ်၊ သေချာပါတယ်။ ဥပမာအားဖြင့်၊ သင်သည် ၎င်းတို့ကို Excel တွင်လည်း ရှာဖွေနိုင်သည်။

အသက်ရှင်နေသော DDE ၏ည

နောက်ဆုံးအကြိမ် COM scriptlets ၏ဖော်ပြချက်တွင်ရပ်ခဲ့သည်ကိုသတိရမိသည်။ ဒီဆောင်းပါးမှာ နောက်မှ သူတို့ဆီ ရောက်မယ်လို့ ကတိပေးပါတယ်။

ဤအတောအတွင်း၊ Excel ဗားရှင်းတွင် DDE ၏နောက်ထပ်မကောင်းသောအခြမ်းကိုကြည့်ကြပါစို့။ Word မှာလိုပဲ၊ တချို့ Excel တွင် DDE ၏လျှို့ဝှက်အင်္ဂါရပ်များ အားစိုက်ထုတ်စရာမလိုဘဲ code ကို execute လုပ်ခွင့်ပြုပါ။ ကြီးပြင်းလာသော Word အသုံးပြုသူတစ်ဦးအနေဖြင့် ကျွန်ုပ်သည် နယ်ပယ်များနှင့် အကျွမ်းတဝင်ရှိသော်လည်း DDE ရှိ လုပ်ဆောင်ချက်များနှင့် ပတ်သက်၍ လုံးဝမဟုတ်ပါ။

Excel မှာ အောက်မှာပြထားတဲ့အတိုင်း ဆဲလ်တစ်ခုကနေ shell တစ်ခုကို ခေါ်နိုင်တာကို သိလိုက်ရတော့ ကျွန်တော် အံ့သြသွားတယ်။

ဒါဖြစ်နိုင်တယ်ဆိုတာ မင်းသိလား။ ပုဂ္ဂိုလ်ရေးအရတော့ မဟုတ်ဘူး။

Windows shell ကိုဖွင့်ရန် ဤစွမ်းရည်သည် DDE ၏ ရည်မွန်ချက်ဖြစ်သည်။ အခြားအရာများစွာကို သင်စဉ်းစားနိုင်သည်။
Excel ၏ built-in DDE လုပ်ဆောင်ချက်များကို အသုံးပြု၍ သင်ချိတ်ဆက်နိုင်သော အပလီကေးရှင်းများ။
ငါတွေးနေတာ အတူတူပဲလား ?

ကျွန်ုပ်တို့၏ဆဲလ်အတွင်းမှ အမိန့်ပေးချက်သည် လင့်ခ်ကို ဒေါင်းလုဒ်လုပ်ပြီး လုပ်ဆောင်သည့် PowerShell စက်ရှင်ကို စတင်ခွင့်ပြုပါ - ဤအရာ reception ည့်ခံပွဲအရင်က ကျွန်တော်တို့ သုံးပြီးသားပါ။ အောက်တွင်ကြည့်ပါ:

Excel တွင်အဝေးကုဒ်ကိုဖွင့်ပြီးဖွင့်ရန် PowerShell အနည်းငယ်ကိုကူးထည့်ပါ။

သို့သော် ဖမ်းစားမှုတစ်ခုရှိသည်- ဤဖော်မြူလာကို Excel တွင်အလုပ်လုပ်ရန်အတွက် သင်သည် ဤဒေတာကို ဆဲလ်ထဲသို့ ရှင်းရှင်းလင်းလင်းထည့်ရပါမည်။ ဟက်ကာတစ်ဦးသည် ဤ DDE အမိန့်ကို အဝေးမှ မည်သို့လုပ်ဆောင်နိုင်သနည်း။ အမှန်မှာ Excel ဇယားကိုဖွင့်သောအခါ၊ Excel သည် DDE ရှိလင့်ခ်အားလုံးကို update လုပ်ရန်ကြိုးစားလိမ့်မည်။ Trust Center ဆက်တင်များသည် ပြင်ပဒေတာရင်းမြစ်များသို့ လင့်ခ်များကို အပ်ဒိတ်လုပ်သည့်အခါတွင် ၎င်းကို ပိတ်ရန် သို့မဟုတ် သတိပေးနိုင်စွမ်းရှိသည်မှာ ကြာပါပြီ။

နောက်ဆုံးပေါ် ဖာထေးမှုများမရှိပါက DDE တွင် အလိုအလျောက်လင့်ခ် အဆင့်မြှင့်တင်ခြင်းကို ပိတ်နိုင်သည်။

မူလက Microsoft ကိုယ်တိုင် အကြံပြုထားသည်။ 2017 ရှိ ကုမ္ပဏီများသည် Word နှင့် Excel ရှိ DDE အားနည်းချက်များကို ကာကွယ်ရန် အလိုအလျောက်လင့်ခ်အပ်ဒိတ်များကို ပိတ်သင့်သည်။ ဇန်န၀ါရီလ 2018 တွင် Microsoft သည် DDE ကိုပုံမှန်အားဖြင့်ပိတ်ထားသော Excel 2007၊ 2010 နှင့် 2013 အတွက် patches ကိုထုတ်ပြန်ခဲ့သည်။ ဒီ ဆောင်းပါး Computerworld သည် patch ၏အသေးစိတ်အချက်အလက်များအားလုံးကိုဖော်ပြသည်။

အင်း၊ ပွဲမှတ်တမ်းတွေကော။

မည်သို့ပင်ဆိုစေကာမူ Microsoft သည် MS Word နှင့် Excel အတွက် DDE ကို စွန့်လွှတ်ခဲ့ပြီး နောက်ဆုံးတွင် DDE သည် လုပ်ဆောင်နိုင်စွမ်းထက် bug တစ်ခုနှင့် ပိုတူကြောင်း အသိအမှတ်ပြုခဲ့သည်။ အကယ်၍ သင်သည် ဤပြင်ဆင်ဖာထေးမှုများကို အကြောင်းတစ်စုံတစ်ရာကြောင့် မတပ်ဆင်ရသေးပါက၊ အလိုအလျောက်လင့်ခ်အပ်ဒိတ်များကို ပိတ်ကာ စာရွက်စာတမ်းများနှင့် စာရင်းဇယားများကိုဖွင့်သည့်အခါ အသုံးပြုသူများအား လင့်ခ်များကို အပ်ဒိတ်လုပ်ရန် တောင်းဆိုသည့်ဆက်တင်များကိုဖွင့်ခြင်းဖြင့် DDE တိုက်ခိုက်မှုအန္တရာယ်ကို လျှော့ချနိုင်သည်။

ယခု ဒေါ်လာသန်းချီသောမေးခွန်း- သင်သည် ဤတိုက်ခိုက်မှု၏ သားကောင်ဖြစ်ပါက Word အကွက်များမှ စတင်သည့် PowerShell စက်ရှင်များ သို့မဟုတ် Excel ဆဲလ်များသည် မှတ်တမ်းတွင် ပေါ်လာမည်လား။

မေးခွန်း- PowerShell စက်ရှင်များကို DDE မှတစ်ဆင့် မှတ်တမ်းတင်ထားပါသလား။ အဖြေ: ဟုတ်ကဲ့

Macro အဖြစ်မဟုတ်ဘဲ PowerShell စက်ရှင်များကို Excel ဆဲလ်တစ်ခုမှ တိုက်ရိုက်ဖွင့်သောအခါ၊ Windows သည် ဤဖြစ်ရပ်များကို မှတ်တမ်းတင်လိမ့်မည် (အထက်တွင်ကြည့်ပါ)။ တစ်ချိန်တည်းမှာပင်၊ လုံခြုံရေးအဖွဲ့သည် PowerShell စက်ရှင်၊ Excel စာရွက်စာတမ်းနှင့် အီးမေးလ်မက်ဆေ့ချ်ကြားရှိ အစက်များအားလုံးကို ချိတ်ဆက်ပြီးနောက် တိုက်ခိုက်မှုစတင်သည့်နေရာကို နားလည်ရန် လွယ်ကူလိမ့်မည်မဟုတ်ကြောင်း ကျွန်ုပ်တောင်းဆို၍မရပါ။ တွေ့ရခဲသော Malware ဆိုင်ရာ ကျွန်ုပ်၏ မပြီးဆုံးနိုင်သော စီးရီးရှိ နောက်ဆုံးဆောင်းပါးတွင် ၎င်းကို ပြန်လာခဲ့ပါမည်။

ငါတို့ COM က ဘယ်လိုလဲ။

ယခင်တုန်းက ဆောင်းပါး COM scriptlets ၏ ခေါင်းစဉ်ကို ကျွန်တော် ထိမိပါသည်။ သူတို့ကိုယ်တိုင်လည်း အဆင်ပြေတယ်။ နည်းပညာကုဒ်ကို ကျော်ဖြတ်နိုင်စေသော၊ COM အရာဝတ္ထုတစ်ခုအနေဖြင့် JScript ဟု ရိုးရိုးရှင်းရှင်းပြောပါ။ ဒါပေမယ့် နောက်ပိုင်းမှာ scriptlets တွေကို ဟက်ကာတွေက ရှာဖွေတွေ့ရှိခဲ့ပြီး၊ ဒါက မလိုအပ်တဲ့ ကိရိယာတွေမသုံးဘဲ သားကောင်ရဲ့ကွန်ပြူတာမှာ ခြေကုပ်ယူနိုင်စေခဲ့ပါတယ်။ ဒီ видео Derbycon မှ regsrv32 နှင့် rundll32 ကဲ့သို့သော built-in Windows ကိရိယာများကို အကြောင်းပြချက်အဖြစ် အဝေးမှ scriptlets များကို လက်ခံပြသထားပြီး ဟက်ကာများသည် malware ၏အကူအညီမပါဘဲ ၎င်းတို့၏တိုက်ခိုက်မှုကို အဓိကအားဖြင့် လုပ်ဆောင်သည်။ ငါနောက်ဆုံးအကြိမ်ပြသခဲ့သည့်အတိုင်း၊ သင်သည် JScript scriptlet ကိုအသုံးပြု၍ PowerShell အမိန့်များကို အလွယ်တကူလုပ်ဆောင်နိုင်သည်။

မြတ်စွာဘုရားသည် အလွန်ထက်မြက်သည်ဟု ထင်ရှား၏။ သုတေသီ COM scriptlet ကို run ရန်နည်းလမ်းကိုရှာတွေ့ခဲ့သည်။ в Excel စာရွက်စာတမ်း။ ဆဲလ်တစ်ခုသို့ စာရွက်စာတမ်း သို့မဟုတ် ပုံတစ်ခုသို့ လင့်ခ်တစ်ခုကို ထည့်သွင်းရန် ကြိုးစားသောအခါတွင် ပက်ကေ့ခ်ျတစ်ခု ထည့်သွင်းခဲ့ကြောင်း သူတွေ့ရှိခဲ့သည်။ နှင့် ဤပက်ကေ့ခ်ျသည် ထည့်သွင်းမှုအဖြစ် အဝေးမှ Scriptlet ကို တိတ်တဆိတ် လက်ခံသည် (အောက်တွင်ကြည့်ပါ)။

Boom! COM scriptlets ကို အသုံးပြု၍ shell ကိုဖွင့်ရန် လျှို့ဝှက်၊ အသံတိတ်နည်းလမ်း

အဆင့်နိမ့်ကုဒ်ကို စစ်ဆေးပြီးနောက်၊ သုတေသီသည် ၎င်းသည် အမှန်တကယ်ဖြစ်သည်ကို တွေ့ရှိခဲ့သည်။ ပိုးကောင် package software ထဲမှာ။ ၎င်းသည် COM scriptlets များကိုလည်ပတ်ရန်မရည်ရွယ်ဘဲ ဖိုင်များနှင့်ချိတ်ဆက်ရန်သာဖြစ်သည်။ ဤအားနည်းချက်အတွက် ဖာထေးမှု ရှိ၊ မရှိ မသေချာပါ။ Office 2010 ကြိုတင်ထည့်သွင်းထားသော Amazon WorkSpaces ကိုအသုံးပြု၍ ကျွန်ုပ်၏ကိုယ်ပိုင်လေ့လာမှုတွင်၊ ရလဒ်များကို ပုံတူပွားနိုင်ခဲ့ပါသည်။ ဒါပေမယ့် နည်းနည်းကြာတော့ ထပ်စမ်းကြည့်တော့ အလုပ်မဖြစ်ဘူး။

စိတ်ဝင်စားစရာတွေ အများကြီးပြောပြခဲ့ပြီး တစ်ချိန်တည်းမှာပဲ ဟက်ကာတွေက မင်းရဲ့ကုမ္ပဏီကို အလားတူနည်းတစ်နည်းနဲ့ ဟက်ကာတွေ ထိုးဖောက်ဝင်ရောက်နိုင်တယ်ဆိုတာကို ပြသနိုင်လိမ့်မယ်လို့ မျှော်လင့်မိပါတယ်။ နောက်ဆုံးပေါ် Microsoft ဖာထေးမှုများကို သင်ထည့်သွင်းထားသော်လည်း၊ ဟက်ကာများသည် သင့်စနစ်တွင် ခြေကုပ်ယူရန် ကိရိယာများစွာရှိပါသေးသည်။ ကျွန်ုပ်သည် ဤစီးရီးကို စတင်ခဲ့သည့် VBA မက်ခရိုမှသည် Word သို့မဟုတ် Excel တွင် အန္တရာယ်ရှိသော ပေးဆောင်မှုများအထိ ဖြစ်သည်။

ဒီဝတ္ထုထဲက နောက်ဆုံး (ကတိပေးပါတယ်) ဆောင်းပါးမှာ၊ စမတ်ကျတဲ့ အကာအကွယ်ကို ဘယ်လိုပေးရမလဲဆိုတာကို ပြောပြပါမယ်။

source: www.habr.com