The Adventures of the Elusive Malware, Part V: حتی نور DDE او COM سکریپټلټونه

دا مقاله د فایل نه مالویر لړۍ برخه ده. د لړۍ نورې ټولې برخې:

• د نامناسب مالویر سفرونه، لومړۍ برخه
• د الوزیو مالویر سفرونه، دویمه برخه: پټ VBA سکریپټونه
• د نامناسب مالویر سفرونه، دریمه برخه: د خندا او ګټې لپاره د VBA سکریپټ پیچلي
• د الوزیو مالویر سفرونه، څلورمه برخه: DDE او د کلمې سند ساحې
• The Adventures of the Elusive Malware, Part V: حتی نور DDE او COM سکریپټلټونه (موږ دلته یو)

د مقالو په دې لړۍ کې، موږ د برید میتودونه لټوو چې د هیکرانو په برخه کې لږترلږه هڅې ته اړتیا لري. پخوا زمانه کی مقالې موږ پوښلي چې دا ممکنه ده چې کوډ پخپله په مایکروسافټ ورډ کې د DDE آټوفیلډ پایلوډ کې دننه کړئ. د داسې سند په خلاصولو سره چې د فشینګ بریښنالیک سره وصل وي ، یو ناخبره کارونکي به برید کونکي ته اجازه ورکړي چې په خپل کمپیوټر کې پښه ترلاسه کړي. په هرصورت، د 2017 په پای کې، مایکروسافټ تړل شوی په DDE باندې د بریدونو لپاره دا نیمګړتیا.
فکس د راجسټری ننوتل اضافه کوي چې غیر فعالوي د DDE دندې په کلمه کې. که تاسو اوس هم دې فعالیت ته اړتیا لرئ، نو تاسو کولی شئ دا اختیار د زاړه DDE وړتیاوو په فعالولو سره بیرته راوباسئ.

په هرصورت، اصلي پیچ یوازې د مایکروسافټ ورډ پوښلی. ایا دا د DDE زیان منونکي د مایکروسافټ دفتر په نورو محصولاتو کې شتون لري چې د بې کوډ بریدونو کې هم کارول کیدی شي؟ هو، یقینا. د مثال په توګه، تاسو کولی شئ دوی په Excel کې هم ومومئ.

د ژوند شپه DDE

زه په یاد لرم چې وروستی ځل ما د COM سکریپټ په تفصیل کې ودراوه. زه ژمنه کوم چې زه به وروسته په دې مقاله کې دوی ته ورشم.

په ورته وخت کې ، راځئ چې د Excel نسخه کې د DDE بل بد اړخ وګورو. لکه په کلمه کې، ځینې په Excel کې د DDE پټ ځانګړتیاوې تاسو ته اجازه درکوي پرته له ډیرې هڅې کوډ اجرا کړئ. د کلمې کاروونکي په توګه چې لوی شوی، زه د ساحو سره آشنا وم، مګر په DDE کې د دندو په اړه نه.

زه په دې پوهیدو حیران شوم چې په Excel کې زه کولی شم د سیل څخه شیل ته زنګ ووهلم لکه څنګه چې لاندې ښودل شوي:

ایا تاسو پوهیږئ چې دا ممکنه وه؟ په شخصي توګه، زه نه

د وینډوز شیل په لاره اچولو دا وړتیا د DDE څخه مننه ده. تاسو کولی شئ د ډیرو نورو شیانو په اړه فکر وکړئ
هغه غوښتنلیکونه چې تاسو کولی شئ د Excel د جوړ شوي DDE افعال په کارولو سره وصل شئ.
ایا تاسو هماغه شی فکر کوئ چې زه فکر کوم؟

اجازه راکړئ زموږ په حجره کې کمانډ د PowerShell سیشن پیل کړي چې بیا لینک ډاونلوډ او اجرا کوي - دا استقبال کول، کوم چې موږ دمخه کارولی دی. لاندې وګورئ:

په Excel کې د ریموټ کوډ بارولو او چلولو لپاره یوازې یو څه پاور شیل پیسټ کړئ

مګر یو کیچ شتون لري: تاسو باید دا ډاټا په څرګنده توګه په سیل کې دننه کړئ ترڅو د دې فورمول په Excel کې کار وکړي. څنګه یو هیکر کولی شي دا DDE کمانډ په لیرې توګه اجرا کړي؟ حقیقت دا دی چې کله د ایکسل میز خلاص وي، ایکسل به هڅه وکړي چې په DDE کې ټول لینکونه تازه کړي. د باور مرکز تنظیمات له اوږدې مودې راهیسې د دې غیر فعالولو یا خبرداری ورکولو وړتیا لري کله چې د بهرنیو معلوماتو سرچینو ته لینکونه تازه کوي.

حتی د وروستي پیچونو پرته، تاسو کولی شئ په DDE کې د اتوماتیک لینک تازه کول غیر فعال کړئ

مایکروسافټ په اصل کې پخپله مشوره ورکول په 2017 کې شرکتونه باید د اتوماتیک لینک تازه معلومات غیر فعال کړي ترڅو په Word او Excel کې د DDE زیانونو مخه ونیسي. د جنوري په 2018 کې، مایکروسافټ د Excel 2007، 2010 او 2013 لپاره پیچونه خپاره کړل چې د ډیفالټ لخوا DDE غیر فعال کړي. دا مقاله Computerworld د پیچ ​​ټول توضیحات بیانوي.

ښه ، د پیښې لاګونو په اړه څه؟

مایکروسافټ بیا هم د MS ورډ او ایکسل لپاره DDE پریښود ، په پایله کې یې پیژندل چې DDE د فعالیت په پرتله د بګ په څیر دی. که د کوم دلیل لپاره تاسو لاهم دا پیچونه ندي نصب کړي ، تاسو لاهم کولی شئ د اتوماتیک لینک تازه معلوماتو غیر فعال کولو او تنظیماتو فعالولو سره د DDE برید خطر کم کړئ چې کاروونکو ته د اسنادو او سپریډ شیټونو پرانستلو پرمهال لینکونو تازه کولو ته هڅوي.

اوس د ملیون ډالرو پوښتنه: که تاسو د دې برید قرباني یاست ، ایا د PowerShell سیشنونه به د Word ساحو یا Excel حجرو څخه پیل شوي په لاګ کې څرګند شي؟

پوښتنه: ایا د پاور شیل سیشنونه د DDE له لارې پیل شوي دي؟ ځواب: هو

کله چې تاسو د پاور شیل ناستې په مستقیم ډول د اکسل سیل څخه د میکرو په توګه پرمخ وړئ، وینډوز به دا پیښې لاګ کړي (پورته وګورئ). په ورته وخت کې ، زه ادعا نشم کولی چې د امنیت ټیم لپاره به دا اسانه وي چې بیا د پاور شیل سیشن ، ایکسل سند او بریښنالیک پیغام تر مینځ ټولې نقطې وصل کړي او پوه شي چې برید چیرې پیل شوی. زه به دې ته بیرته راشم په وروستي مقاله کې زما په نه ختمیدونکي لړۍ کې د ناوړه مالویر په اړه.

زموږ COM څنګه دی؟

په تیرو کې مقالې ما د COM سکریپلیټونو موضوع ته اشاره وکړه. دوی په خپل ځان کې مناسب دي. ټیکنالوژي، کوم چې تاسو ته اجازه درکوي کوډ تېر کړئ، JScript ووایاست، په ساده ډول د COM څیز په توګه. مګر بیا سکریپلیټونه د هیکرانو لخوا کشف شول، او دې کار دوی ته اجازه ورکړه چې د غیر ضروري وسیلو کارولو پرته د قرباني په کمپیوټر کې پښه ترلاسه کړي. دا видео له Derbycon څخه د وینډوز جوړ شوي وسیلې لکه regsrv32 او rundll32 ښیي چې ریموټ سکریپټونه د دلیل په توګه مني، او هیکرز په لازمي ډول د مالویر له مرستې پرته خپل برید ترسره کوي. لکه څنګه چې ما تیر ځل ښودلی، تاسو کولی شئ په اسانۍ سره د JScript سکریپټ په کارولو سره د PowerShell کمانډونه پرمخ بوځي.

دا معلومه شوه چې یو ډیر هوښیار دی څیړونکی د COM سکریپټ چلولو لپاره لاره وموندله в د ایکسل سند. هغه وموندله چې کله یې هڅه وکړه چې په حجره کې د سند یا عکس لپاره لینک دننه کړي، یو ځانګړی کڅوړه په هغې کې دننه شوې. او دا کڅوړه په خاموشۍ سره د ان پټ په توګه یو ریموټ سکریپټ مني (لاندې وګورئ).

بوم! د COM سکریپلیټونو په کارولو سره د شیل لانچ کولو لپاره بل پټ ، خاموش میتود

د ټیټې کچې کوډ تفتیش وروسته، څیړونکي وموندله چې دا واقعیا څه ده بګ په بسته سافټویر کې. دا د COM سکریپټ چلولو لپاره نه و، مګر یوازې د فایلونو سره لینک کول. زه ډاډه نه یم چې ایا د دې زیان مننې لپاره دمخه پیچ شتون لري. زما په خپله مطالعه کې د Amazon WorkSpaces په کارولو سره د Office 2010 دمخه نصب شوي ، زه وتوانید چې پایلې نقل کړم. په هرصورت، کله چې ما یو څه وروسته بیا هڅه وکړه، دا کار ونه کړ.

زه واقعیا امید لرم چې ما تاسو ته ډیر په زړه پوري شیان وویل او په ورته وخت کې یې وښودله چې هیکران کولی شي ستاسو شرکت ته په یو یا بل ورته ډول ننوځي. حتی که تاسو د مایکروسافټ ټول وروستي پیچونه نصب کړئ ، هیکرز لاهم ستاسو په سیسټم کې د پښو د ترلاسه کولو لپاره ډیری وسیلې لري ، د VBA میکرو څخه ما دا لړۍ په Word یا Excel کې د ناوړه تادیاتو سره پیل کړې.

پدې کیسه کې په وروستي (زه ژمنه کوم) مقاله کې ، زه به د سمارټ محافظت چمتو کولو څرنګوالي په اړه وغږیږم.

سرچینه: www.habr.com