Dit artikel maakt deel uit van de serie Fileless Malware. Alle andere delen van de serie:
- (we zijn hier)
In deze serie artikelen onderzoeken we aanvalsmethoden die minimale inspanning van hackers vereisen. In het verleden We hebben besproken dat het mogelijk is om de code zelf in te voegen in de DDE autofield-payload in Microsoft Word. Door een dergelijk document te openen dat bij een phishing-e-mail is gevoegd, zorgt een onoplettende gebruiker ervoor dat de aanvaller voet aan de grond krijgt op zijn computer. Eind 2017 kondigde Microsoft deze maas in de wet voor aanvallen op DDE.
De oplossing voegt een registervermelding toe die wordt uitgeschakeld DDE-functies in Woord. Als u deze functionaliteit nog steeds nodig heeft, kunt u deze optie retourneren door de oude DDE-mogelijkheden in te schakelen.
De originele patch had echter alleen betrekking op Microsoft Word. Bestaan deze DDE-kwetsbaarheden in andere Microsoft Office-producten die ook kunnen worden misbruikt bij aanvallen zonder code? Ja tuurlijk. Je vindt ze bijvoorbeeld ook in Excel.
Nacht van de Levenden DDE
Ik herinner me dat ik de vorige keer stopte bij de beschrijving van COM-scriptlets. Ik beloof dat ik ze later in dit artikel zal bespreken.
Laten we in de tussentijd eens kijken naar een andere slechte kant van DDE in de Excel-versie. Net als in Word, sommige verborgen functies van DDE in Excel kunt u zonder veel moeite code uitvoeren. Als opgroeiende Word-gebruiker was ik bekend met de velden, maar helemaal niet met de functies in DDE.
Ik was verbaasd toen ik hoorde dat ik in Excel een shell vanuit een cel kan aanroepen, zoals hieronder weergegeven:
Wist je dat dit mogelijk was? Persoonlijk niet
Deze mogelijkheid om een Windows-shell te starten is te danken aan DDE. Je kunt nog veel meer dingen bedenken
Applicaties waarmee u verbinding kunt maken met behulp van de ingebouwde DDE-functies van Excel.
Denk jij hetzelfde als ik?
Laat onze in-cell opdracht een PowerShell-sessie starten die vervolgens de link downloadt en uitvoert - dit , die we al eerder hebben gebruikt. Zie hieronder:
Plak gewoon een beetje PowerShell om externe code in Excel te laden en uit te voeren
Maar er zit een addertje onder het gras: u moet deze gegevens expliciet in de cel invoeren om deze formule in Excel te laten werken. Hoe kan een hacker dit DDE-commando op afstand uitvoeren? Feit is dat wanneer een Excel-tabel geopend is, Excel zal proberen alle links in DDE bij te werken. Instellingen van het Vertrouwenscentrum hebben al lang de mogelijkheid om dit uit te schakelen of te waarschuwen bij het bijwerken van koppelingen naar externe gegevensbronnen.
Zelfs zonder de nieuwste patches kunt u het automatisch bijwerken van links in DDE uitschakelen
Microsoft oorspronkelijk zelf Bedrijven moeten anno 2017 automatische linkupdates uitschakelen om DDE-kwetsbaarheden in Word en Excel te voorkomen. In januari 2018 heeft Microsoft patches uitgebracht voor Excel 2007, 2010 en 2013 die DDE standaard uitschakelen. Dit Computerworld beschrijft alle details van de patch.
Hoe zit het met gebeurtenislogboeken?
Microsoft heeft niettemin DDE voor MS Word en Excel verlaten, en heeft daarmee eindelijk erkend dat DDE meer een bug dan een functionaliteit is. Als u om de een of andere reden deze patches nog niet hebt geïnstalleerd, kunt u het risico op een DDE-aanval nog steeds verkleinen door automatische linkupdates uit te schakelen en instellingen in te schakelen die gebruikers vragen om links bij te werken bij het openen van documenten en spreadsheets.
Nu de vraag van een miljoen dollar: als u het slachtoffer bent van deze aanval, zullen PowerShell-sessies die vanuit Word-velden of Excel-cellen worden gestart, in het logboek verschijnen?
Vraag: Worden PowerShell-sessies gestart via DDE geregistreerd? Antwoord: ja
Wanneer u PowerShell-sessies rechtstreeks vanuit een Excel-cel uitvoert in plaats van als een macro, zal Windows deze gebeurtenissen registreren (zie hierboven). Tegelijkertijd kan ik niet beweren dat het voor het beveiligingsteam gemakkelijk zal zijn om vervolgens alle punten tussen de PowerShell-sessie, het Excel-document en het e-mailbericht met elkaar te verbinden en te begrijpen waar de aanval begon. Ik kom hierop terug in het laatste artikel in mijn eindeloze serie over de ongrijpbare malware.
Hoe is onze COM?
In de vorige Ik heb het onderwerp COM-scriptlets aangeroerd. Ze zijn op zichzelf handig. , waarmee u code, bijvoorbeeld JScript, eenvoudigweg als een COM-object kunt doorgeven. Maar toen werden de scriptlets ontdekt door hackers, waardoor ze zonder onnodige hulpmiddelen voet aan de grond konden krijgen op de computer van het slachtoffer. Dit van Derbycon demonstreert ingebouwde Windows-tools zoals regsrv32 en rundll32 die externe scriptlets als argumenten accepteren, en hackers voeren hun aanval in wezen uit zonder de hulp van malware. Zoals ik de vorige keer liet zien, kun je eenvoudig PowerShell-opdrachten uitvoeren met behulp van een JScript-scriptlet.
Het bleek dat iemand heel slim is een manier gevonden om een COM-scriptlet uit te voeren в Excel-document. Hij ontdekte dat wanneer hij probeerde een link naar een document of afbeelding in een cel in te voegen, er een bepaald pakket in werd geplaatst. En dit pakket accepteert stilletjes een extern scriptlet als invoer (zie hieronder).
Boom! Nog een sluipende, stille methode om een shell te starten met behulp van COM-scriptlets
Na een code-inspectie op laag niveau kwam de onderzoeker erachter wat het werkelijk is beestje in de pakketsoftware. Het was niet bedoeld om COM-scriptlets uit te voeren, maar alleen om naar bestanden te linken. Ik weet niet zeker of er al een patch is voor deze kwetsbaarheid. In mijn eigen onderzoek met Amazon WorkSpaces waarop Office 2010 vooraf was geïnstalleerd, kon ik de resultaten repliceren. Maar toen ik het even later opnieuw probeerde, lukte het niet.
Ik hoop echt dat ik u veel interessante dingen heb verteld en tegelijkertijd heb laten zien dat hackers op een of andere vergelijkbare manier uw bedrijf kunnen binnendringen. Zelfs als je de nieuwste Microsoft-patches installeert, hebben hackers nog steeds veel tools om voet aan de grond te krijgen in je systeem, van de VBA-macro's waarmee ik deze serie begon tot kwaadaardige payloads in Word of Excel.
In het laatste (dat beloof ik) artikel in deze saga zal ik het hebben over hoe je slimme bescherming kunt bieden.
Bron: www.habr.com