د الوزیو مالویر سفرونه، څلورمه برخه: DDE او د کلمې سند ساحې

دا مقاله د فایل نه مالویر لړۍ برخه ده. د لړۍ نورې ټولې برخې:

• د نامناسب مالویر سفرونه، لومړۍ برخه
• د الوزیو مالویر سفرونه، دویمه برخه: پټ VBA سکریپټونه
• د نامناسب مالویر سفرونه، دریمه برخه: د خندا او ګټې لپاره د VBA سکریپټ پیچلي
• د الوزیو مالویر سفرونه، څلورمه برخه: DDE او د کلمې سند ساحې (موږ دلته یو)

پدې مقاله کې ، زه به په سیسټم کې د پن کولو سره حتی خورا پیچلي ملټي مرحلې فایل بې برید سناریو ته ډوب کړم. مګر بیا زه د حیرانتیا وړ ساده ، بې کوډ برید سره مخ شو - هیڅ کلمه یا ایکسل میکرو ته اړتیا نشته! او دا زما اصلي فرضیه په خورا مؤثره توګه ثابتوي چې د مقالو دې لړۍ کې شتون لري: د کومې ادارې بهرنۍ حدود ماتول په هیڅ ډول ستونزمن کار نه دی.

لومړی برید چې زه به یې تشریح کړم د مایکروسافټ ورډ زیان رسونکي ګټه پورته کوي چې پراساس دی زوړ د متحرک معلوماتو تبادلې پروتوکول (DDE). هغه لا دمخه وه ثابت. دوهم د مایکروسافټ COM او د اعتراض لیږد وړتیاو کې ډیر عمومي زیان رسوي.

بیرته راتلونکي ته د DDE سره

بل څوک DDE په یاد لري؟ شاید ډیری نه وي. دا یو له لومړیو څخه و د بین الافغاني اړیکو پروتوکولونه چې غوښتنلیکونو او وسایلو ته یې د معلوماتو لیږدولو اجازه ورکړه.

زه پخپله له دې سره یو څه پیژنم ځکه چې ما د مخابراتي تجهیزاتو چک او ازموینه کوله. په هغه وخت کې، DDE اجازه ورکړه، د بیلګې په توګه، د زنګ مرکز چلونکي د CRM غوښتنلیک ته د زنګ وهونکي ID لیږدوي، کوم چې په نهایت کې د پیرودونکي کارت خلاص کړ. د دې کولو لپاره، تاسو باید د خپل تلیفون او کمپیوټر ترمنځ د RS-232 کیبل سره وصل کړئ. هغه ورځې وې!

لکه څنګه چې دا وګرځي، د مایکروسافټ کلمه لاهم ده ملاتړ کوي DDE.

هغه څه چې دا برید د کوډ پرته اغیزمن کوي ​​دا دی چې تاسو کولی شئ د DDE پروتوکول ته لاسرسی ومومئ نېغ په نېغه د Word سند کې د اتوماتیک ساحو څخه (د سینس پوسټ لپاره څیړنې او خپرونې په دی اړه).

د ساحې کوډونه د MS ورډ یو بل پخوانی خصوصیت دی چې تاسو ته اجازه درکوي متحرک متن او یو څه برنامه ستاسو سند کې اضافه کړئ. ترټولو څرګند مثال د پاڼې شمیره ساحه ده، کوم چې د {PAGE *MERGEFORMAT} ارزښت په کارولو سره فوټر کې دننه کیدی شي. دا اجازه ورکوي چې د پاڼې شمیرې په اتوماتيک ډول تولید شي.

اشاره: تاسو کولی شئ د ننوتلو لاندې د ساحې مینو توکي ومومئ.

زما په یاد دي کله چې ما په لومړي ځل دا ځانګړتیا په Word کې وموندله، زه حیران وم. او تر هغه چې پیچ دا غیر فعال کړي، کلمه لاهم د DDE ساحو اختیار ملاتړ کوي. نظر دا و چې DDE به Word ته اجازه ورکړي چې په مستقیم ډول د غوښتنلیک سره اړیکه ونیسي، نو دا بیا کولی شي د پروګرام محصول په سند کې انتقال کړي. دا په هغه وخت کې خورا ځوان ټیکنالوژي وه - د بهرنیو غوښتنلیکونو سره د معلوماتو تبادلې لپاره ملاتړ. دا وروسته د COM ټیکنالوژۍ ته وده ورکړل شوه، کوم چې موږ به یې لاندې وګورو.

په نهایت کې ، هیکرانو پوهیدلي چې دا DDE غوښتنلیک د کمانډ شیل کیدی شي ، کوم چې یقینا PowerShell پیل کړی ، او له هغه ځایه هیکرز کولی شي هرڅه چې دوی وغواړي ترسره کړي.
لاندې سکرین شاټ ښیې چې ما دا سټیلټ تخنیک څنګه کارولی: د DDE ساحې څخه یو کوچنی پاور شیل سکریپټ (وروسته د PS په نوم یادیږي) د PS بل سکریپټ بار کوي ، کوم چې د برید دوهم پړاو پیلوي.

د پاپ اپ خبرداری لپاره د وینډوز څخه مننه چې جوړ شوی DDEAUTO ساحه په پټه توګه د شیل پیل کولو هڅه کوي

د زیانونو څخه د ګټې اخیستنې غوره طریقه د DDEAUTO ساحې سره یو ډول کارول دي، کوم چې په اتوماتيک ډول سکریپټ چلوي کله چې پرانیستل شي د کلمې سند.
راځئ چې په دې اړه فکر وکړو چې موږ په دې اړه څه کولی شو.

د یو نوي هیکر په توګه، تاسو کولی شئ، د بیلګې په توګه، یو فشینګ بریښنالیک واستوئ، داسې ښکاري چې تاسو د فدرالي مالیې خدمت څخه یاست، او د DDEAUTO ساحه د لومړي مرحلې لپاره د PS سکریپټ سره یوځای کړئ (یو ډراپر، لازمي). او تاسو حتی اړتیا نلرئ د میکرو کوم ریښتیني کوډینګ وکړئ ، او داسې نور ، لکه څنګه چې ما کړی و پخوانۍ مقاله.
قرباني ستاسو سند خلاصوي، سرایت شوی سکریپټ فعال شوی، او هیکر په کمپیوټر کې پای ته رسیږي. زما په قضیه کې، د ریموټ PS سکریپټ یوازې یو پیغام چاپوي، مګر دا کولی شي په اسانۍ سره د PS امپراتورۍ پیرودونکي پیل کړي، کوم چې به د ریموټ شیل لاسرسی چمتو کړي.
او مخکې لدې چې قرباني د څه ویلو وخت ولري ، هیکران به د کلي ترټولو بډایه تنکي ځوانان وګرځي.

شیل د لږ څه کوډ کولو پرته په لاره اچول شوی و. حتی یو ماشوم دا کولی شي!

DDE او ساحې

مایکروسافټ وروسته په Word کې DDE غیر فعال کړ، مګر مخکې له دې چې شرکت وویل چې دا فیچر په ساده ډول ناوړه ګټه اخیستنه وه. د هر څه بدلولو لپاره د دوی لیوالتیا د پوهیدو وړ ده. زما په تجربه کې ، ما پخپله یو مثال لیدلی چیرې چې د سند خلاصولو پرمهال ساحې تازه کول فعال شوي و ، مګر د ورډ میکرو د IT لخوا غیر فعال شوي (مګر یو خبرتیا ښیې). په لاره کې، تاسو کولی شئ د Word ترتیباتو برخې کې ورته ترتیبات ومومئ.

په هرصورت، حتی که د ساحې تازه کول فعال شوي وي، مایکروسافټ ورډ اضافي کارونکي ته خبر ورکوي کله چې یو ساحه حذف شوي ډیټا ته د لاسرسي غوښتنه کوي، لکه څنګه چې د پورته DDE سره قضیه ده. مایکروسافټ واقعیا تاسو ته خبرداری ورکوي.

مګر ډیری احتمال، کاروونکي به لاهم دا خبرداری له پامه غورځوي او په Word کې د ساحو تازه کول فعال کړي. دا یو له نادر فرصتونو څخه دی چې د مایکروسافټ د خطرناک DDE خصوصیت غیر فعال کولو لپاره مننه وکړي.

نن ورځ د ناپیچ شوي وینډوز سیسټم موندل څومره ستونزمن دي؟

د دې ازموینې لپاره ، ما د مجازی ډیسټاپ ته لاسرسي لپاره AWS کاري ځایونه کارولي. پدې توګه ما د MS دفتر نه جوړ شوی مجازی ماشین ترلاسه کړ چې ما ته اجازه راکړه چې د DDEAUTO ساحه دننه کړم. زه هیڅ شک نلرم چې په ورته ډول تاسو کولی شئ نور شرکتونه ومومئ چې لاهم اړین امنیتي پیچونه ندي نصب کړي.

د شیانو اسرار

حتی که تاسو دا پیچ نصب کړی وي، په MS دفتر کې نور امنیتي سوراخونه شتون لري چې هیکرانو ته اجازه ورکوي چې هغه څه ته ورته وي چې موږ د Word سره ترسره کړي. په راتلونکي سناریو کې به موږ زده کړو اکسل د فشینګ برید لپاره د بیت په توګه وکاروئ پرته له کوم کوډ لیکلو.

د دې سناریو د پوهیدو لپاره، راځئ چې د مایکروسافټ اجزا آبجیکٹ ماډل یاد کړو، یا د لنډ لپاره COM (د اجزاو ماډل).

COM د 1990 لسیزې راهیسې شتون لري، او د RPC ریموټ پروسیجر کالونو پراساس د "ژبې بې طرفه، د اعتراض پر بنسټ برخې ماډل" په توګه تعریف شوی. د COM اصطلاحاتو د عمومي پوهاوي لپاره، ولولئ دا پوسټ په StackOverflow کې.

اساسا ، تاسو کولی شئ د COM غوښتنلیک په اړه فکر وکړئ د ایکسل یا ورډ اجرا وړ ، یا کوم بل بائنری فایل چې چلیږي.

دا معلومه شوه چې د COM غوښتنلیک هم چلولی شي سناریو - جاوا سکریپټ یا VBScript. په تخنیکي توګه ورته ویل کیږي سکرپٹ. تاسو شاید په وینډوز کې د فایلونو لپاره .sct توسیع لیدلی وي - دا د سکریپټ لپاره رسمي توسیع دی. په لازمي ډول ، دا د سکریپټ کوډ دي چې په XML ریپر کې پوښل شوي:

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

هیکرانو او پینټیسټانو موندلي چې په وینډوز کې جلا اسانتیاوې او غوښتنلیکونه شتون لري چې د COM توکي مني او په وینا یې سکریپټ هم.

زه کولی شم د وینډوز یوټیلیټ ته یو سکریپټ انتقال کړم چې په VBS کې لیکل شوی چې د pubprn په نوم پیژندل کیږي. دا د C:Windowssystem32Printing_Admin_Scripts په ژورو کې موقعیت لري. په لاره کې، د وینډوز نورې اسانتیاوې شتون لري چې توکي د پیرامیټونو په توګه مني. راځئ چې لومړی دا مثال وګورو.

دا خورا طبیعي ده چې شیل حتی د چاپ سکریپټ څخه پیل کیدی شي. مایکروسافټ ته لاړ شه!

د ازموینې په توګه، ما یو ساده ریموټ سکریپټ جوړ کړ چې شیل په لاره اچوي او یو مسخره پیغام چاپوي، "تاسو یوازې سکریپټ شوي یاست!" په لازمي ډول ، pubprn د سکریپټ څیز انسټاګرام کوي ، د VBScript کوډ ته اجازه ورکوي چې ریپر چل کړي. دا میتود هیکرانو ته روښانه ګټه چمتو کوي څوک چې غواړي ستاسو په سیسټم کې پټ شي او پټ کړي.

په راتلونکی پوسټ کې، زه به تشریح کړم چې د COM سکریپټیټ څنګه د اکسل سپریڈ شیټونو په کارولو سره د هیکرانو لخوا کارول کیدی شي.

ستاسو د کور کار لپاره، یو نظر وګورئ دا ویډیو د Derbycon 2016 څخه، کوم چې په سمه توګه تشریح کوي چې څنګه هیکرانو سکریپټونه کارولي. او هم ولولئ دا مقاله د سکریپټ او یو ډول مونیکر په اړه.

سرچینه: www.habr.com