Este artigo faz parte da série Fileless Malware. Todas as outras partes da série:
- (Estamos aqui)
Nesta série de artigos, exploramos métodos de ataque que exigem esforço mínimo por parte dos hackers. No passado Abordamos que é possível colar o próprio código na carga útil do campo automático DDE no Microsoft Word. Ao abrir tal documento anexado a um e-mail de phishing, um usuário incauto permitirá que o invasor ganhe uma posição segura em seu computador. No entanto, no final de 2017, a Microsoft esta lacuna para ataques ao DDE.
A correção adiciona uma entrada de registro que desativa Funções DDE em palavra. Se você ainda precisar dessa funcionalidade, poderá retornar essa opção ativando os antigos recursos DDE.
No entanto, o patch original abrangia apenas o Microsoft Word. Essas vulnerabilidades DDE existem em outros produtos do Microsoft Office que também poderiam ser exploradas em ataques sem código? Sim, claro. Por exemplo, você também pode encontrá-los no Excel.
Noite dos Vivos DDE
Lembro-me da última vez que parei na descrição dos scriptlets COM. Eu prometo que irei abordá-los mais tarde neste artigo.
Enquanto isso, vamos dar uma olhada em outro lado ruim do DDE na versão Excel. Assim como no Word, alguns recursos ocultos do DDE no Excel permitem que você execute código sem muito esforço. Como um usuário do Word que cresceu, eu estava familiarizado com os campos, mas não com as funções do DDE.
Fiquei surpreso ao saber que no Excel posso chamar um shell a partir de uma célula conforme mostrado abaixo:
Você sabia que isso era possível? Pessoalmente, eu não
Essa capacidade de iniciar um shell do Windows é cortesia do DDE. Você pode pensar em muitas outras coisas
Aplicativos aos quais você pode se conectar usando funções DDE integradas do Excel.
Você está pensando a mesma coisa que eu?
Deixe nosso comando na célula iniciar uma sessão do PowerShell que baixa e executa o link - este , que já usamos antes. Veja abaixo:
Basta colar um pouco do PowerShell para carregar e executar código remoto no Excel
Mas há um problema: você deve inserir explicitamente esses dados na célula para que esta fórmula funcione no Excel. Como um hacker pode executar este comando DDE remotamente? O fato é que quando uma tabela do Excel for aberta, o Excel tentará atualizar todos os links no DDE. As configurações da Central de Confiabilidade há muito tempo têm a capacidade de desabilitar isso ou avisar ao atualizar links para fontes de dados externas.
Mesmo sem os patches mais recentes, você pode desativar a atualização automática de links no DDE
A própria Microsoft originalmente As empresas em 2017 deveriam desativar as atualizações automáticas de links para evitar vulnerabilidades DDE no Word e Excel. Em janeiro de 2018, a Microsoft lançou patches para Excel 2007, 2010 e 2013 que desabilitam o DDE por padrão. Esse Computerworld descreve todos os detalhes do patch.
Bem, e os logs de eventos?
Mesmo assim, a Microsoft abandonou o DDE pelo MS Word e Excel, reconhecendo finalmente que o DDE é mais um bug do que uma funcionalidade. Se por algum motivo você ainda não instalou esses patches, ainda poderá reduzir o risco de um ataque DDE desativando as atualizações automáticas de links e ativando configurações que solicitam aos usuários que atualizem links ao abrir documentos e planilhas.
Agora, a pergunta de um milhão de dólares: se você for vítima desse ataque, as sessões do PowerShell iniciadas a partir de campos do Word ou células do Excel aparecerão no log?
Pergunta: As sessões do PowerShell são iniciadas via DDE registradas? Resposta: sim
Quando você executa sessões do PowerShell diretamente de uma célula do Excel, em vez de uma macro, o Windows registrará esses eventos (veja acima). Ao mesmo tempo, não posso afirmar que será fácil para a equipe de segurança conectar todos os pontos entre a sessão do PowerShell, o documento Excel e a mensagem de e-mail e entender onde o ataque começou. Voltarei a isso no último artigo da minha série interminável sobre o malware indescritível.
Como está o nosso COM?
No anterior Abordei o tópico dos scriptlets COM. Eles são convenientes por si só. , que permite passar código, digamos JScript, simplesmente como um objeto COM. Mas então os scriptlets foram descobertos por hackers, e isso lhes permitiu ganhar uma posição no computador da vítima sem o uso de ferramentas desnecessárias. Esse da Derbycon demonstra ferramentas integradas do Windows, como regsrv32 e rundll32, que usam scriptlets remotos como argumentos, e os hackers essencialmente realizam seus ataques sem a ajuda de malware. Como mostrei da última vez, você pode executar facilmente comandos do PowerShell usando um scriptlet JScript.
Acontece que um é muito inteligente encontrei uma maneira de executar um scriptlet COM в Documento Excel. Ele descobriu que quando tentava inserir um link para um documento ou imagem em uma célula, um determinado pacote era inserido nela. E este pacote aceita silenciosamente um scriptlet remoto como entrada (veja abaixo).
Estrondo! Outro método furtivo e silencioso para iniciar um shell usando scriptlets COM
Após uma inspeção de código de baixo nível, o pesquisador descobriu o que realmente é bug no pacote de software. Não foi planejado para executar scriptlets COM, mas apenas para vincular arquivos. Não tenho certeza se já existe um patch para esta vulnerabilidade. Em meu próprio estudo usando o Amazon WorkSpaces com o Office 2010 pré-instalado, consegui replicar os resultados. No entanto, quando tentei novamente um pouco mais tarde, não funcionou.
Eu realmente espero ter contado muitas coisas interessantes e ao mesmo tempo mostrado que os hackers podem penetrar na sua empresa de uma forma ou de outra semelhante. Mesmo se você instalar todos os patches mais recentes da Microsoft, os hackers ainda terão muitas ferramentas para se firmar no sistema, desde as macros VBA com as quais comecei esta série até cargas maliciosas no Word ou Excel.
No artigo final (prometo) desta saga, falarei sobre como fornecer proteção inteligente.
Fonte: habr.com