هي آرٽيڪل فائل بيس مالويئر سيريز جو حصو آهي. سيريز جا ٻيا سڀئي حصا:
- (اسان هتي آهيون)
مضمونن جي هن سلسلي ۾، اسان حملي جي طريقن کي ڳوليندا آهيون جيڪي هيڪرز جي طرفان گهٽ ۾ گهٽ ڪوشش جي ضرورت هونديون آهن. ماضي ۾ اسان احاطو ڪيو آهي ته اهو ممڪن آهي ته ڪوڊ داخل ڪرڻ پاڻ کي ڊي ڊي اي آٽو فيلڊ پيل لوڊ ۾ Microsoft Word ۾. هڪ فشنگ اي ميل سان ڳنڍيل اهڙي دستاويز کي کولڻ سان، هڪ غير محتاط صارف حملي ڪندڙ کي اجازت ڏيندو ته هو پنهنجي ڪمپيوٽر تي پير حاصل ڪري. بهرحال، 2017 جي آخر ۾، Microsoft DDE تي حملن لاءِ هي رستو.
فيڪس هڪ رجسٽري داخلا شامل ڪري ٿو جيڪو غير فعال ڪري ٿو DDE افعال لفظ ۾. جيڪڏھن توھان اڃا تائين ھن ڪارڪردگيءَ جي ضرورت آھي، ته پوءِ توھان ھي اختيار واپس ڪري سگھوٿا پراڻي ڊي ڊي اي صلاحيتن کي فعال ڪندي.
بهرحال، اصل پيچ صرف ڍڪيل Microsoft Word. ڇا اهي DDE ڪمزوريون Microsoft Office جي ٻين پروڊڪٽس ۾ موجود آهن جن کي بغير ڪوڊ حملن ۾ به استعمال ڪري سگهجي ٿو؟ ها، ضرور. مثال طور، توھان انھن کي Excel ۾ پڻ ڳولي سگھو ٿا.
رات جو رهندڙ ڊي ڊي اي
مون کي ياد آهي ته آخري ڀيرو مون COM اسڪرپٽ جي وضاحت تي روڪي ڇڏيو. مان واعدو ڪريان ٿو ته آئون انهن کي هن مضمون ۾ بعد ۾ حاصل ڪندس.
ساڳئي وقت ۾، اچو ته ڏسو هڪ ٻئي برائي طرف DDE جي ايڪسل ورزن ۾. جيئن لفظ ۾، ڪجهه Excel ۾ DDE جي لڪيل خاصيتون توهان کي اجازت ڏيڻ جي اجازت ڏئي ٿو ته ڪوڊ کي تمام گهڻي ڪوشش کان سواء. هڪ لفظ استعمال ڪندڙ جي طور تي جيڪو وڏو ٿيو، مان فيلڊن کان واقف هو، پر ڊي ڊي اي ۾ ڪمن بابت بلڪل نه.
مون کي اهو سکڻ تي حيرت ٿي وئي ته ايڪسل ۾ آئون سيل مان هڪ شيل کي ڪال ڪري سگهان ٿو جيئن هيٺ ڏيکاريل آهي:
ڇا توهان کي خبر آهي ته اهو ممڪن هو؟ ذاتي طور تي، مان نه ٿو ڪريان
ونڊوز شيل کي لانچ ڪرڻ جي اها صلاحيت DDE جي مهرباني آهي. توهان ٻين ڪيترن ئي شين جي باري ۾ سوچي سگهو ٿا
ايپليڪيشنون جيڪي توهان استعمال ڪندي ڳنڍي سگهو ٿا Excel جي بلٽ ان ڊي ڊي اي افعال.
ڇا تون اهو ئي سوچي رهيو آهين جيڪو مان سوچي رهيو آهيان؟
اچو ته اسان جي ان-سيل ڪمانڊ کي شروع ڪري هڪ PowerShell سيشن جيڪو پوءِ لنڪ ڊائون لوڊ ۽ ان تي عمل ڪري ٿو - هي ، جيڪو اسان اڳ ۾ ئي استعمال ڪيو آهي. هيٺ ڏسو:
ايڪسل ۾ ريموٽ ڪوڊ لوڊ ڪرڻ ۽ هلائڻ لاءِ بس ٿورڙو پاور شيل پيسٽ ڪريو
پر اتي ھڪڙو پڪ آھي: توھان کي لازمي طور تي ھن ڊيٽا کي سيل ۾ داخل ڪرڻ گھرجي ھن فارمولا لاءِ Excel ۾ ڪم ڪرڻ لاءِ. هڪ هيڪر ڪيئن هن DDE ڪمانڊ کي ريموٽ طور تي عمل ڪري سگهي ٿو؟ حقيقت اها آهي ته جڏهن هڪ ايڪسل ٽيبل کليل آهي، ايڪسل ڊي ڊي ۾ سڀني لنڪس کي اپڊيٽ ڪرڻ جي ڪوشش ڪندو. اعتماد سينٽر سيٽنگون ڊگهي عرصي کان هن کي غير فعال ڪرڻ جي صلاحيت رکن ٿيون يا ڊيڄارين جڏهن ٻاهرين ڊيٽا ذريعن ڏانهن لنڪس کي اپڊيٽ ڪيو وڃي.
جيتوڻيڪ جديد پيچ جي بغير، توهان ڊي ڊي اي ۾ خودڪار لنڪ اپڊيٽ کي غير فعال ڪري سگهو ٿا
Microsoft اصل ۾ پاڻ 2017 ۾ ڪمپنين کي خودڪار لنڪ اپڊيٽ کي غير فعال ڪرڻ گهرجي Word ۽ Excel ۾ DDE خطرات کي روڪڻ لاء. جنوري 2018 ۾، Microsoft Excel 2007، 2010 ۽ 2013 لاءِ پيچ جاري ڪيا جيڪي DDE کي ڊفالٽ طور غير فعال ڪن ٿا. هي Computerworld پيچ جي سڀني تفصيلن کي بيان ڪري ٿو.
خير، واقعي جي لاگن بابت ڇا؟
Microsoft تنهن هوندي به MS Word ۽ Excel لاءِ DDE کي ڇڏي ڏنو، آخرڪار اهو تسليم ڪيو ويو ته DDE ڪارڪردگي کان وڌيڪ بگ وانگر آهي. جيڪڏهن ڪجهه سببن جي ڪري توهان اڃا تائين اهي پيچس انسٽال نه ڪيا آهن، توهان اڃا تائين ڊي ڊي اي حملي جي خطري کي گهٽائي سگهو ٿا خودڪار لنڪ اپڊيٽ کي غير فعال ڪرڻ ۽ سيٽنگون کي چالو ڪندي جيڪي صارفين کي دستاويزن ۽ اسپريڊ شيٽ کولڻ وقت لنڪس کي اپڊيٽ ڪرڻ لاءِ ترغيب ڏين ٿيون.
ھاڻي ملين ڊالر سوال: جيڪڏھن توھان ھن حملي جو شڪار آھيو، ڇا ورڈ فيلڊز يا ايڪسل سيلز مان شروع ڪيل PowerShell سيشن لاگ ۾ ڏيکاريا ويندا؟
سوال: ڇا PowerShell سيشن شروع ڪيا ويا آهن DDE لاگ ان ذريعي؟ جواب: ها
جڏهن توهان PowerShell سيشن کي هلائيندا آهيو سڌو هڪ ايڪسل سيل مان هڪ ميڪرو جي بجاءِ، ونڊوز انهن واقعن کي لاگ ان ڪندو (مٿي ڏسو). ساڳئي وقت، مان اها دعويٰ نٿو ڪري سگهان ته سيڪيورٽي ٽيم لاءِ اهو آسان هوندو ته پوءِ PowerShell سيشن، Excel ڊاڪيومينٽ ۽ اي ميل پيغام جي وچ ۾ سڀني نقطن کي ڳنڍڻ ۽ سمجھو ته حملو ڪٿان شروع ٿيو. مان هن ڏانهن واپس ايندس آخري آرٽيڪل ۾ منهنجي ڪڏهن به ختم نه ٿيندڙ سيريز ۾ بدمعاش مالويئر تي.
اسان جي COM ڪيئن آهي؟
پوئين ۾ مون COM اسڪرپٽ جي موضوع تي رابطو ڪيو. اهي پاڻ ۾ آسان آهن. ، جيڪو توهان کي ڪوڊ پاس ڪرڻ جي اجازت ڏئي ٿو، چون ٿا JScript، صرف هڪ COM اعتراض جي طور تي. پر پوءِ اهي اسڪرپٽ هيڪرز پاران دريافت ڪيا ويا، ۽ اهو انهن کي اجازت ڏني وئي ته اهي غير ضروري اوزارن جي استعمال کان سواءِ متاثر جي ڪمپيوٽر تي قدم رکي سگهن. هي Derbycon مان ڏيکاري ٿو بلٽ ان ونڊوز ٽولز جهڙوڪ regsrv32 ۽ rundll32 جيڪي ريموٽ اسڪرپٽ کي دليلن جي طور تي قبول ڪن ٿا، ۽ هيڪرز لازمي طور تي مالويئر جي مدد کان سواءِ پنهنجو حملو ڪن ٿا. جيئن مون آخري دفعو ڏيکاريو، توهان آساني سان هلائي سگهو ٿا PowerShell حڪمن کي JScript اسڪرپٽ استعمال ڪندي.
اهو ظاهر ٿيو ته هڪ تمام هوشيار آهي COM اسڪرپٽ کي هلائڻ لاء هڪ طريقو مليو в Excel سند. هن دريافت ڪيو ته جڏهن هن سيل ۾ ڪنهن دستاويز يا تصوير جي لنڪ داخل ڪرڻ جي ڪوشش ڪئي ته ان ۾ هڪ خاص پيڪيج داخل ڪيو ويو. ۽ هي پيڪيج خاموشيءَ سان هڪ ريموٽ اسڪرپٽ ليٽ کي ان پٽ طور قبول ڪري ٿو (هيٺ ڏسو).
بوم! COM اسڪرپٽ استعمال ڪندي شيل کي لانچ ڪرڻ لاء هڪ ٻيو خاموش، خاموش طريقو
گھٽ سطحي ڪوڊ جي چڪاس کان پوء، محقق معلوم ڪيو ته اھو ڇا آھي بگ پيڪيج سافٽ ويئر ۾. اهو مقصد نه هو ته COM اسڪرپٽ هلائڻ لاء، پر صرف فائلن سان ڳنڍڻ لاء. مون کي پڪ ناهي ته ڇا اڳ ۾ ئي هن خطري لاء هڪ پيچ آهي. منهنجي پنهنجي مطالعي ۾ Amazon WorkSpaces استعمال ڪندي Office 2010 اڳ ۾ نصب ٿيل، مان نتيجن کي نقل ڪرڻ جي قابل ٿيس. بهرحال، جڏهن مون ٿوري دير کان پوء ٻيهر ڪوشش ڪئي، اهو ڪم نه ڪيو.
مان واقعي اميد ڪريان ٿو ته مون توهان کي ڪيتريون ئي دلچسپ شيون ٻڌايون آهن ۽ ساڳئي وقت ڏيکاريا آهن ته هيڪرز توهان جي ڪمپني کي هڪ يا ٻئي طريقي سان داخل ڪري سگهن ٿا. جيتوڻيڪ جيڪڏهن توهان سڀني جديد Microsoft پيچس کي انسٽال ڪريو ٿا، هيڪرز اڃا تائين ڪيترائي اوزار آهن توهان جي سسٽم ۾ پير حاصل ڪرڻ لاء، VBA ميڪروس مان مون هن سيريز کي شروع ڪيو آهي ورڈ يا ايڪسل ۾ بدسلوڪي پيل لوڊ ڪرڻ سان.
فائنل ۾ (مان واعدو ڪريان ٿو) هن ڪهاڻي ۾ آرٽيڪل، مان ڳالهائيندس ته ڪيئن سمارٽ تحفظ فراهم ڪجي.
جو ذريعو: www.habr.com