The Adventures of the Elusive Malware, Part IV: DDE र Word Document Fields

यो लेख फाइललेस मालवेयर श्रृंखलाको अंश हो। शृङ्खलाका अन्य सबै भागहरू:

• द एडभेन्चर अफ द इलुसिभ मालवेयर, भाग १
• द एडभेन्चर्स अफ इलुसिभ मालवेयर, भाग II: सेक्रेटिभ VBA स्क्रिप्ट
• The Adventures of the Elusive Malware, Part III: Tangled VBA Scripts for Laughter and Profit
• The Adventures of the Elusive Malware, Part IV: DDE र Word Document Fields (हामी यहाँ छौं)

यस लेखमा, म प्रणालीमा पिनिङको साथ अझ जटिल बहु-चरण फाइलरहित आक्रमण परिदृश्यमा डुब्न जाँदैछु। तर त्यसपछि मैले अविश्वसनीय रूपमा सरल, नो-कोड आक्रमण भेट्टाएँ — कुनै शब्द वा एक्सेल म्याक्रो आवश्यक छैन! र यसले लेखहरूको यस शृङ्खलामा रहेको मेरो मौलिक परिकल्पनालाई अझ प्रभावकारी रूपमा प्रमाणित गर्छ: कुनै पनि संस्थाको बाहिरी परिधि तोड्नु कुनै पनि गाह्रो काम होइन।

पहिलो आक्रमण मैले वर्णन गर्नेछु माइक्रोसफ्ट वर्ड भेद्यतामा आधारित छ पुरानो गतिशील डाटा एक्सचेंज प्रोटोकल (DDE)। उनी पहिले नै थिइन् निश्चित। दोस्रोले Microsoft COM र वस्तु स्थानान्तरण क्षमताहरूमा थप सामान्य जोखिमको शोषण गर्दछ।

DDE को साथ भविष्यमा फर्कनुहोस्

अरू कसैलाई DDE याद छ? सायद धेरै छैन। यो पहिलो मध्ये एक थियो अन्तर-प्रक्रिया संचार प्रोटोकलहरू जसले अनुप्रयोगहरू र उपकरणहरूलाई डेटा स्थानान्तरण गर्न अनुमति दिन्छ.

म आफैंसँग थोरै परिचित छु किनभने मैले टेलिकम उपकरणहरू जाँच्ने र परीक्षण गर्ने गर्थे। त्यस समयमा, DDE ले, उदाहरणका लागि, कल सेन्टर अपरेटरहरूलाई CRM अनुप्रयोगमा कलर आईडी स्थानान्तरण गर्न अनुमति दियो, जसले अन्ततः ग्राहक कार्ड खोल्यो। यो गर्नको लागि, तपाईंले आफ्नो फोन र कम्प्युटर बीच RS-232 केबल जडान गर्नुपर्थ्यो। ति पो दिन थिए त!

यो बाहिर जान्छ, माइक्रोसफ्ट वर्ड अझै छ समर्थन गर्दछ DDE।

यस आक्रमणलाई कोड बिना प्रभावकारी बनाउने कुरा के हो भने तपाईले DDE प्रोटोकल पहुँच गर्न सक्नुहुन्छ सीधा Word कागजातमा स्वचालित क्षेत्रहरूबाट (ह्याट अफ सेन्सपोस्टको लागि अनुसन्धान र प्रकाशनहरू यसको बारेमा)।

फिल्ड कोडहरू अर्को पुरानो MS Word सुविधा हो जसले तपाइँलाई तपाइँको कागजातमा गतिशील पाठ र थोडा प्रोग्रामिङ थप्न अनुमति दिन्छ। सबैभन्दा स्पष्ट उदाहरण पृष्ठ नम्बर फिल्ड हो, जुन मान {PAGE *MERGEFORMAT} प्रयोग गरेर फुटरमा घुसाउन सकिन्छ। यसले पृष्ठ नम्बरहरू स्वचालित रूपमा उत्पन्न गर्न अनुमति दिन्छ।

सङ्केत: तपाईंले इन्सर्ट अन्तर्गत फिल्ड मेनु वस्तु फेला पार्न सक्नुहुन्छ।

मलाई याद छ कि जब मैले पहिलो पटक Word मा यो सुविधा पत्ता लगाए, म छक्क परें। र प्याचले यसलाई असक्षम नगरेसम्म, Word ले अझै DDE फिल्ड विकल्पलाई समर्थन गर्यो। विचार यो थियो कि DDE ले Word लाई अनुप्रयोगसँग सिधै सञ्चार गर्न अनुमति दिनेछ, ताकि यसले कार्यक्रमको आउटपुटलाई कागजातमा पास गर्न सकोस्। त्यो समयमा यो एकदमै युवा प्रविधि थियो - बाह्य अनुप्रयोगहरूसँग डाटा आदानप्रदानको लागि समर्थन। यो पछि COM टेक्नोलोजीमा विकसित भएको थियो, जुन हामी तल पनि हेर्नेछौं।

अन्ततः, ह्याकरहरूले महसुस गरे कि यो DDE अनुप्रयोग कमाण्ड शेल हुन सक्छ, जसले पक्कै पनि PowerShell सुरु गर्यो, र त्यहाँबाट ह्याकरहरूले आफूले चाहेको काम गर्न सक्छन्।
तलको स्क्रिनसटले देखाउँछ कि मैले यो स्टिल्थ प्रविधि कसरी प्रयोग गरें: DDE फिल्डबाट एउटा सानो PowerShell स्क्रिप्ट (यसपछि PS भनिन्छ) ले अर्को PS स्क्रिप्ट लोड गर्छ, जसले आक्रमणको दोस्रो चरण सुरु गर्छ।

बिल्ट-इन DDEAUTO फिल्डले गोप्य रूपमा शेल सुरु गर्ने प्रयास गरिरहेको पप-अप चेतावनीको लागि विन्डोजलाई धन्यवाद।

भेद्यताको शोषण गर्ने रुचाइएको विधि DDEAUTO फिल्डसँग भेरियन्ट प्रयोग गर्नु हो, जसले स्वचालित रूपमा लिपि चलाउँछ। खोल्दा शब्द कागजात।
यसबारे के गर्न सकिन्छ भनेर सोचौं।

एक नौसिखिया ह्याकरको रूपमा, तपाईंले, उदाहरणका लागि, तपाईं संघीय कर सेवाबाट हुनुहुन्छ भनी बहाना गर्दै फिसिङ इमेल पठाउन सक्नुहुन्छ, र पहिलो चरणको लागि PS स्क्रिप्टको साथ DDEAUTO क्षेत्र इम्बेड गर्न सक्नुहुन्छ (एक ड्रपर, अनिवार्य रूपमा)। र तपाईले म्याक्रोको कुनै पनि वास्तविक कोडिङ गर्न आवश्यक पर्दैन, आदि, जस्तै मैले गरें अघिल्लो लेख।
पीडितले तपाईंको कागजात खोल्छ, इम्बेडेड स्क्रिप्ट सक्रिय हुन्छ, र ह्याकर कम्प्युटर भित्र समाप्त हुन्छ। मेरो केसमा, रिमोट PS स्क्रिप्टले केवल सन्देश प्रिन्ट गर्दछ, तर यसले सजिलैसँग PS साम्राज्य क्लाइन्ट सुरू गर्न सक्छ, जसले रिमोट शेल पहुँच प्रदान गर्दछ।
र पीडितले केहि बोल्ने समय हुनु अघि, ह्याकरहरू गाउँका सबैभन्दा धनी किशोरहरू बन्नेछन्।

शेल अलिकति कोडिङ बिना सुरु गरिएको थियो। बच्चाले पनि गर्न सक्छ!

DDE र क्षेत्रहरू

माइक्रोसफ्टले पछि वर्डमा DDE असक्षम गर्‍यो, तर कम्पनीले यो सुविधाको दुरुपयोग भएको बताउन अघि होइन। कुनै पनि कुरा परिवर्तन गर्न तिनीहरूको अनिच्छा बुझ्न सकिन्छ। मेरो अनुभवमा, मैले आफैंले एउटा उदाहरण देखेको छु जहाँ कागजात खोल्दा फिल्डहरू अपडेट गर्ने सक्षम पारिएको थियो, तर वर्ड म्याक्रोहरू IT द्वारा असक्षम गरिएको थियो (तर सूचना देखाउँदै)। वैसे, तपाईं शब्द सेटिङ सेक्सन मा सम्बन्धित सेटिङहरू फेला पार्न सक्नुहुन्छ।

यद्यपि, फिल्ड अपडेटिङ सक्षम गरिएको भए पनि, माइक्रोसफ्ट वर्डले प्रयोगकर्तालाई थप रूपमा सूचित गर्दछ जब फिल्डले मेटाइएको डाटामा पहुँच अनुरोध गर्दछ, जस्तै माथिको DDE को मामला हो। माइक्रोसफ्टले तपाईंलाई वास्तवमै चेतावनी दिइरहेको छ।

तर सम्भवतः, प्रयोगकर्ताहरूले अझै पनि यो चेतावनीलाई बेवास्ता गर्नेछन् र Word मा फिल्ड अपडेट सक्रिय गर्नेछन्। यो खतरनाक DDE सुविधा असक्षम गरेकोमा Microsoft लाई धन्यवाद दिने दुर्लभ अवसरहरू मध्ये एक हो।

आज अनप्याच गरिएको विन्डोज प्रणाली फेला पार्न कत्तिको गाह्रो छ?

यो परीक्षणको लागि, मैले भर्चुअल डेस्कटप पहुँच गर्न AWS कार्यस्थान प्रयोग गरें। यस तरिकाले मैले एक अनप्याच नगरिएको MS Office भर्चुअल मेसिन पाएँ जसले मलाई DDEAUTO फिल्ड घुसाउन अनुमति दियो। मलाई कुनै शङ्का छैन कि यस्तै तरिकाले तपाईले अन्य कम्पनीहरू फेला पार्न सक्नुहुन्छ जसले अझै आवश्यक सुरक्षा प्याचहरू स्थापना गरेका छैनन्।

वस्तुहरूको रहस्य

यदि तपाईंले यो प्याच स्थापना गर्नुभयो भने पनि, त्यहाँ MS Office मा अन्य सुरक्षा प्वालहरू छन् जसले ह्याकरहरूलाई हामीले Word मा गरेको जस्तै केहि गर्न अनुमति दिन्छ। अर्को परिदृश्यमा हामी सिक्नेछौं कुनै पनि कोड नलेखी फिसिङ आक्रमणको लागि एक्सेललाई चाराको रूपमा प्रयोग गर्नुहोस्।

यो परिदृश्य बुझ्नको लागि, माइक्रोसफ्ट कम्पोनेन्ट वस्तु मोडेल सम्झौं, वा छोटोको लागि COM (घटक वस्तु मोडेल).

COM 1990 को दशक देखि छ, र RPC रिमोट प्रक्रिया कलहरूमा आधारित "भाषा-तटस्थ, वस्तु-उन्मुख घटक मोडेल" को रूपमा परिभाषित गरिएको छ। COM शब्दावलीको सामान्य बुझाइको लागि, पढ्नुहोस् यो पोस्ट StackOverflow मा।

मूलतया, तपाईले COM अनुप्रयोगलाई एक्सेल वा वर्ड कार्यान्वयनयोग्य, वा अन्य बाइनरी फाइलको रूपमा सोच्न सक्नुहुन्छ जुन चल्छ।

यो बाहिर जान्छ कि एक COM अनुप्रयोग पनि चलाउन सक्छ परिदृश्य - जाभास्क्रिप्ट वा VBScript। प्राविधिक रूपमा यसलाई भनिन्छ स्क्रिप्टलेट। तपाईंले Windows मा फाइलहरूको लागि .sct विस्तार देख्नुभएको हुन सक्छ - यो स्क्रिप्टलेटहरूको लागि आधिकारिक विस्तार हो। अनिवार्य रूपमा, तिनीहरू लिपि कोड XML र्यापरमा बेरिएका छन्:

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

ह्याकरहरू र पेन्टेस्टरहरूले पत्ता लगाएका छन् कि विन्डोजमा छुट्टै उपयोगिताहरू र अनुप्रयोगहरू छन् जसले COM वस्तुहरू स्वीकार गर्दछ र, तदनुसार, स्क्रिप्टलेटहरू पनि।

म Pubprn भनेर चिनिने VBS मा लेखिएको Windows उपयोगितामा स्क्रिप्टलेट पास गर्न सक्छु। यो C:Windowssystem32Printing_Admin_Scripts को गहिराइमा अवस्थित छ। वैसे, त्यहाँ अन्य विन्डोज उपयोगिताहरू छन् जसले वस्तुहरूलाई प्यारामिटरहरूको रूपमा स्वीकार गर्दछ। पहिले यो उदाहरण हेरौं।

यो एकदम स्वाभाविक छ कि खोल प्रिन्ट लिपिबाट पनि सुरु गर्न सकिन्छ। माइक्रोसफ्ट जानुहोस्!

परीक्षणको रूपमा, मैले एउटा साधारण रिमोट स्क्रिप्टलेट सिर्जना गरेको छु जसले खोल सुरु गर्छ र एउटा हास्यास्पद सन्देश प्रिन्ट गर्छ, "तपाईलाई भर्खरै स्क्रिप्ट गरिएको छ!" अनिवार्य रूपमा, pubprn ले VBScript कोडलाई र्यापर चलाउन अनुमति दिँदै स्क्रिप्टलेट वस्तुलाई इन्स्ट्यान्टियट गर्छ। यो विधिले तपाईंको प्रणालीमा लुकाउन र लुकाउन चाहने ह्याकरहरूलाई स्पष्ट फाइदा प्रदान गर्दछ।

अर्को पोस्टमा, म एक्सेल स्प्रेडसिटहरू प्रयोग गरेर ह्याकरहरूद्वारा COM स्क्रिप्टलेटहरू कसरी शोषण गर्न सकिन्छ भनेर वर्णन गर्नेछु।

तपाईंको गृहकार्यको लागि, हेर्नुहोस् यो भिडियो Derbycon 2016 बाट, जसले ह्याकरहरूले स्क्रिप्टलेटहरू कसरी प्रयोग गर्थे भनेर वर्णन गर्दछ। अनि पढे पनि यो लेख स्क्रिप्टलेट र केहि प्रकारको मोनिकरको बारेमा।

स्रोत: www.habr.com