The Adventures of the Elusive Malware, Part IV: DDE ۽ Word Document Fields

هي آرٽيڪل فائل بيس مالويئر سيريز جو حصو آهي. سيريز جا ٻيا سڀئي حصا:

• The Adventures of the Elusive Malware, Part I
• The Adventures of Elusive Malware, Part II: Secretive VBA Scripts
• The Adventures of the Elusive Malware, Part III: Tangled VBA Scripts for Laughter and Profit
• The Adventures of the Elusive Malware, Part IV: DDE ۽ Word Document Fields (اسان هتي آهيون)

هن آرٽيڪل ۾، مان سسٽم تي پننگ سان گڏ هڪ کان وڌيڪ پيچيده ملٽي اسٽيج فائل بيس حملي واري منظر ۾ غوطا هڻڻ وارو هو. پر پوءِ مون کي هڪ ناقابل يقين حد تائين سادو، نه-ڪوڊ حملو ٿيو- نه لفظ يا ايڪسل ميڪرو گهربل! ۽ اهو ثابت ٿئي ٿو ته منهنجو اصل مفروضو مضمونن جي هن سلسلي جي هيٺان آهي: ڪنهن به تنظيم جي ٻاهرئين دائري کي ٽوڙڻ ڪو به ڏکيو ڪم ناهي.

پهريون حملو جيڪو آئون بيان ڪندس هڪ Microsoft Word vulnerability جو استحصال ڪري ٿو جنهن تي ٻڌل آهي پراڻو متحرڪ ڊيٽا ايڪسچينج پروٽوڪول (DDE). هوءَ اڳ ۾ ئي هئي مقرر. ٻيو استحصال Microsoft COM ۽ اعتراض جي منتقلي جي صلاحيتن ۾ وڌيڪ عام نقصان.

DDE سان مستقبل ڏانهن واپس

ڪنهن ٻئي کي ياد آهي DDE؟ شايد گهڻا نه. اهو پهرين مان هڪ هو انٽر پروسيس ڪميونيڪيشن پروٽوڪول جيڪي ايپليڪيشنن ۽ ڊوائيسز کي ڊيٽا منتقل ڪرڻ جي اجازت ڏين ٿا.

مان پاڻ ان سان ٿورڙو واقف آهيان ڇاڪاڻ ته مان ٽيليڪم سامان جي جانچ ۽ جانچ ڪندو هوس. ان وقت، ڊي ڊي اي اجازت ڏني، مثال طور، ڪال سينٽر آپريٽرز ڪالر ID کي CRM ايپليڪيشن ۾ منتقل ڪرڻ لاءِ، جنهن آخرڪار هڪ ڪسٽمر ڪارڊ کوليو. هن کي ڪرڻ لاء، توهان کي توهان جي فون ۽ توهان جي ڪمپيوٽر جي وچ ۾ هڪ RS-232 ڪيبل ڳنڍڻو پوندو. اهي ڏينهن هئا!

جيئن اهو نڪتو، Microsoft لفظ اڃا تائين آهي مدد ڪري ٿو ڊي ڊي اي.

ڇا هي حملو اثرائتو بڻائي ٿو بغير ڪوڊ جي اهو آهي ته توهان رسائي ڪري سگهو ٿا DDE پروٽوڪول سڌو ورڊ ڊاڪيومينٽ ۾ پاڻمرادو شعبن مان (هيٽ آف لاءِ SensePost تحقيق ۽ اشاعت ان جي باري ۾).

فيلڊ ڪوڊس هڪ ٻي قديم MS Word خصوصيت آهي جيڪا توهان کي توهان جي دستاويز ۾ متحرڪ متن ۽ ٿورو پروگرامنگ شامل ڪرڻ جي اجازت ڏئي ٿي. سڀ کان وڌيڪ واضع مثال صفحو نمبر فيلڊ آهي، جيڪو {PAGE *MERGEFORMAT} قدر استعمال ڪندي فوٽر ۾ داخل ڪري سگھجي ٿو. هي صفحو نمبر پاڻمرادو پيدا ٿيڻ جي اجازت ڏئي ٿو.

اشارو: توھان ڳولي سگھوٿا فيلڊ مينيو آئٽم داخل ڪريو.

مون کي ياد آهي ته جڏهن مون پهريون ڀيرو لفظ ۾ اها خاصيت دريافت ڪئي، مان حيران ٿي ويس. ۽ جيستائين پيچ ان کي غير فعال ڪيو، لفظ اڃا تائين سپورٽ ڪيو DDE فيلڊز اختيار. اهو خيال هو ته DDE لفظ کي سڌو سنئون ايپليڪيشن سان رابطو ڪرڻ جي اجازت ڏيندو، انهي ڪري ته اهو پروگرام جي پيداوار کي دستاويز ۾ منتقل ڪري سگهي ٿو. اهو ان وقت هڪ تمام نوجوان ٽيڪنالاجي هئي - ٻاهرين ايپليڪيشنن سان ڊيٽا جي بدلي لاءِ سپورٽ. اهو بعد ۾ COM ٽيڪنالاجي ۾ ترقي ڪئي وئي، جنهن کي اسين پڻ هيٺ ڏسنداسين.

آخرڪار، هيڪرز اهو محسوس ڪيو ته هي ڊي ڊي اي ايپليڪيشن هڪ ڪمانڊ شيل ٿي سگهي ٿي، جيڪو يقيناً پاور شيل شروع ڪيو، ۽ اتان کان هيڪرز جيڪي به چاهيندا اهي ڪري سگهن ٿا.
هيٺ ڏنل اسڪرين شاٽ ڏيکاري ٿو ته مون هن چوري واري ٽيڪنڪ کي ڪيئن استعمال ڪيو: هڪ ننڍڙو پاور شيل اسڪرپٽ (هتي حوالو ڏنو ويو PS) DDE فيلڊ مان هڪ ٻيو PS اسڪرپٽ لوڊ ڪري ٿو، جيڪو حملي جو ٻيو مرحلو شروع ڪري ٿو.

ونڊوز جي مهرباني پاپ اپ وارننگ لاءِ ته بلٽ ان ڊي ڊي آٽو فيلڊ ڳجهي طور تي شيل کي شروع ڪرڻ جي ڪوشش ڪري رهيو آهي

خطرن جي استحصال جو ترجيحي طريقو DDEAUTO فيلڊ سان ھڪڙو قسم استعمال ڪرڻ آھي، جيڪو خودڪار طريقي سان اسڪرپٽ کي هلائي ٿو. جڏهن کولڻ لفظ سند.
اچو ته سوچيون ته اسان ان بابت ڇا ڪري سگهون ٿا.

هڪ نئين هيڪر جي حيثيت ۾، توهان ڪري سگهو ٿا، مثال طور، هڪ فشنگ اي ميل موڪليو، اهو فرض ڪندي ته توهان وفاقي ٽيڪس سروس مان آهيو، ۽ پهرين اسٽيج لاءِ PS اسڪرپٽ سان DDEAUTO فيلڊ کي شامل ڪري سگهو ٿا (هڪ ڊراپر، لازمي طور تي). ۽ توهان کي ميڪرو وغيره جي حقيقي ڪوڊنگ ڪرڻ جي ضرورت ناهي، جيئن مون ڪيو اڳوڻو مضمون.
مقتول توهان جي دستاويز کي کوليندو آهي، ايمبيڊڊ اسڪرپٽ کي چالو ڪيو ويندو آهي، ۽ هيڪر ڪمپيوٽر جي اندر ختم ٿي ويندو آهي. منهنجي صورت ۾، ريموٽ پي ايس اسڪرپٽ صرف هڪ پيغام پرنٽ ڪري ٿو، پر اهو صرف آساني سان پي ايس ايمپائر ڪلائنٽ کي لانچ ڪري سگهي ٿو، جيڪو ريموٽ شيل رسائي فراهم ڪندو.
۽ ان کان اڳ جو مقتول کي ڪجهه چوڻ جو وقت هجي، هيڪرز ڳوٺ جا امير ترين نوجوان بڻجي ويندا.

شيل کي شروع ڪيو ويو بغير ڪوڊنگ جي معمولي سا. جيتوڻيڪ هڪ ٻار اهو ڪري سگهي ٿو!

DDE ۽ فيلڊز

Microsoft بعد ۾ Word ۾ DDE کي غير فعال ڪيو، پر ڪمپني کان اڳ نه چيو ويو ته خصوصيت صرف غلط استعمال ڪيو ويو. ڪنهن به شيءِ کي تبديل ڪرڻ لاءِ انهن جي بيچيني سمجهي وڃي ٿي. منهنجي تجربي ۾، مون پاڻ هڪ مثال ڏٺو آهي جتي فيلڊ کي اپڊيٽ ڪرڻ جڏهن دستاويز کولڻ کي فعال ڪيو ويو هو، پر لفظ ميڪرو IT پاران غير فعال ڪيا ويا (پر هڪ نوٽيفڪيشن ڏيکاريندي). رستي جي ذريعي، توهان لفظ سيٽنگون سيڪشن ۾ لاڳاپيل سيٽنگون ڳولي سگهو ٿا.

جڏهن ته، جيتوڻيڪ فيلڊ اپڊيٽنگ کي فعال ڪيو ويو آهي، Microsoft Word اضافي طور تي صارف کي مطلع ڪري ٿو جڏهن هڪ فيلڊ ختم ٿيل ڊيٽا تائين رسائي جي درخواست ڪري ٿي، جيئن مٿي DDE جي صورت ۾ آهي. Microsoft واقعي توهان کي ڊيڄاري رهيو آهي.

پر گهڻو ڪري، صارفين اڃا تائين هن خبرداري کي نظر انداز ڪندا ۽ لفظ ۾ فيلڊ اپڊيٽ کي چالو ڪندا. خطرناڪ DDE خصوصيت کي غير فعال ڪرڻ لاء Microsoft کي شڪر ڪرڻ لاء هي نادر موقعن مان هڪ آهي.

اڄڪلهه اڻڄاتل ونڊوز سسٽم ڳولڻ ڪيترو ڏکيو آهي؟

ھن جاچ لاءِ، مون استعمال ڪيو AWS Workspaces ھڪ ورچوئل ڊيسڪ ٽاپ تائين پھچڻ لاءِ. هن طريقي سان مون کي هڪ اڻڄاتل MS Office ورچوئل مشين ملي جنهن مون کي ڊي ڊي اي اوٽو فيلڊ داخل ڪرڻ جي اجازت ڏني. مون کي ڪو شڪ ناهي ته ساڳئي طريقي سان توهان ڳولي سگهو ٿا ٻيون ڪمپنيون جيڪي اڃا تائين ضروري حفاظتي پيچ نصب نه ڪيا آهن.

شين جو اسرار

جيتوڻيڪ توهان هن پيچ کي انسٽال ڪيو آهي، اتي MS Office ۾ ٻيا حفاظتي سوراخ آهن جيڪي هيڪرز کي ڪجهه ڪرڻ جي اجازت ڏين ٿا جيڪو اسان Word سان ڪيو آهي. ايندڙ منظر ۾ اسان سکنداسين فشنگ حملي لاءِ بيٽ طور Excel استعمال ڪريو بغير ڪوڊ لکڻ جي.

هن منظر کي سمجهڻ لاءِ، اچو ته ياد رکون Microsoft Component Object Model، يا مختصر لاءِ COM (جزو آبجیکٹ ماڊل).

COM 1990 جي ڏهاڪي کان وٺي آهي، ۽ RPC ريموٽ پروسيسنگ ڪالن جي بنياد تي "ٻولي-غير جانبدار، اعتراض تي مبني جزو ماڊل" جي طور تي بيان ڪيو ويو آهي. COM اصطلاحن جي عام سمجھ لاءِ، پڙھو هي پوسٽ StackOverflow تي.

بنيادي طور تي، توهان هڪ COM ايپليڪيشن کي ايڪسل يا ورڈ ايگزيڪيوٽيبل، يا ڪجهه ٻي بائنري فائل جي طور تي سوچي سگهو ٿا جيڪو هلندو آهي.

اهو ظاهر ٿئي ٿو ته هڪ COM ايپليڪيشن پڻ هلائي سگهي ٿي منظرنامو - JavaScript يا VBScript. ٽيڪنيڪل طور ان کي سڏيو ويندو آهي لکت. توھان ڏٺو ھوندو .sct ايڪسٽينشن ونڊوز ۾ فائلن لاءِ - ھي اسڪرپٽ لاءِ آفيشل ايڪسٽينشن آھي. لازمي طور تي، اهي اسڪرپٽ ڪوڊ آهن هڪ XML لفافي ۾ لپي ويا آهن:

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

هيڪرز ۽ پينٽسٽرز دريافت ڪيو آهي ته ونڊوز ۾ الڳ الڳ افاديت ۽ ايپليڪيشنون آهن جيڪي قبول ڪن ٿيون COM شيون ۽، مطابق، اسڪرپٽ پڻ.

مان وي بي ايس ۾ لکيل ونڊوز يوٽيلٽي ڏانهن اسڪرپٽ ليٽ پاس ڪري سگهان ٿو جنهن کي pubprn طور سڃاتو وڃي ٿو. اهو C:Windowssystem32Printing_Admin_Scripts جي کوٽائي ۾ واقع آهي. رستي جي ذريعي، ٻيون ونڊوز افاديتون آهن جيڪي شيون قبول ڪن ٿيون پيراميٽر طور. اچو ته پهرين هن مثال کي ڏسو.

اهو بلڪل قدرتي آهي ته شيل کي پرنٽ اسڪرپٽ مان به شروع ڪري سگهجي ٿو. وڃو Microsoft!

هڪ امتحان جي طور تي، مون هڪ سادو ريموٽ اسڪرپٽ ليٽ ٺاهيو جيڪو هڪ شيل لانچ ڪري ٿو ۽ هڪ مزاحيه پيغام پرنٽ ڪري ٿو، "توهان کي صرف اسڪرپٽ ڪيو ويو آهي!" لازمي طور تي، pubprn هڪ اسڪرپٽ شئي کي ترتيب ڏئي ٿو، VBScript ڪوڊ کي ريپر هلائڻ جي اجازت ڏئي ٿو. هي طريقو هيڪرز لاءِ واضح فائدو فراهم ڪري ٿو جيڪي توهان جي سسٽم ۾ چپ ڪرڻ ۽ لڪائڻ چاهيندا آهن.

ايندڙ پوسٽ ۾، مان وضاحت ڪندس ته COM اسڪرپٽ ڪيئن استعمال ڪري سگهجن ٿا هيڪرز پاران Excel اسپريڊ شيٽ استعمال ڪندي.

توهان جي گهر جي ڪم لاء، هڪ نظر وٺو هي وڊيو Derbycon 2016 کان، جيڪو وضاحت ڪري ٿو ته ڪيئن هيڪرز اسڪرپٽ استعمال ڪيو. ۽ پڻ پڙهو اهو مضمون اسڪرپٽ ۽ ڪجهه قسم جي مانيڪر بابت.

جو ذريعو: www.habr.com