ProHoster > බ්ලොග් > පරිපාලනය > The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields

The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields

The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields

මෙම ලිපිය Fileless Malware මාලාවේ කොටසකි. මාලාවේ අනෙකුත් සියලුම කොටස්:

මෙම ලිපියෙන්, මම පද්ධතිය මත ඇමිණීමත් සමඟ ඊටත් වඩා සංකීර්ණ බහු-අදියර ගොනු රහිත ප්‍රහාරක දර්ශනයකට කිමිදීමට යන්නෙමි. නමුත් පසුව මට ඇදහිය නොහැකි තරම් සරල, කේත රහිත ප්‍රහාරයක් හමු විය—Word හෝ Excel macros අවශ්‍ය නොවේ! මෙම ලිපි මාලාවට යටින් පවතින මගේ මුල් උපකල්පනය මෙය වඩාත් ඵලදායී ලෙස ඔප්පු කරයි: ඕනෑම සංවිධානයක පිටත පරිමිතිය බිඳ දැමීම කිසිසේත් අපහසු කාර්යයක් නොවේ.

මම විස්තර කරන පළමු ප්‍රහාරය මයික්‍රොසොෆ්ට් වර්ඩ් අනාරක්‍ෂිත බව පාදක කර ගනී යල් පැන ගිය ගතික දත්ත හුවමාරු ප්රොටෝකෝලය (DDE). ඇය දැනටමත් සිටියාය ස්ථාවර. දෙවැන්න මයික්‍රොසොෆ්ට් COM සහ වස්තු හුවමාරු කිරීමේ හැකියාවන්හි වඩාත් සාමාන්‍ය අවදානමක් භාවිතා කරයි.

DDE සමඟ නැවත අනාගතයට

වෙන කාට හරි DDE මතකද? බොහෝ විට බොහෝ නොවේ. එය පළමු එකක් විය යෙදුම් සහ උපාංග දත්ත මාරු කිරීමට ඉඩ සලසන අන්තර්-ක්‍රියාවලි සන්නිවේදන ප්‍රොටෝකෝල.

මම ටෙලිකොම් උපකරණ පරීක්ෂා කිරීමට සහ පරීක්ෂා කිරීමට පුරුදු වූ නිසා මට එය ටිකක් හුරුපුරුදුය. එම අවස්ථාවේදී, DDE විසින්, උදාහරණයක් ලෙස, ඇමතුම් මධ්‍යස්ථාන ක්‍රියාකරුවන්ට ඇමතුම්කරු හැඳුනුම්පත CRM යෙදුමකට මාරු කිරීමට ඉඩ ලබා දුන් අතර, එය අවසානයේ පාරිභෝගික කාඩ්පතක් විවෘත කරන ලදී. මෙය සිදු කිරීම සඳහා, ඔබට ඔබගේ දුරකථනය සහ ඔබේ පරිගණකය අතර RS-232 කේබලයක් සම්බන්ධ කිරීමට සිදු විය. ඒ දවස්!

එය හැරෙන පරිදි, Microsoft Word තවමත් පවතී සහයෝගය දක්වයි DDE.

කේතය නොමැතිව මෙම ප්‍රහාරය ඵලදායී වන්නේ ඔබට DDE ප්‍රොටෝකෝලය වෙත ප්‍රවේශ විය හැකි වීමයි සෘජු ය Word ලේඛනයක ස්වයංක්‍රීය ක්ෂේත්‍ර වලින් (SensePost වෙත තොප්පි පර්යේෂණ සහ ප්රකාශන ඒ ගැන).

ක්ෂේත්ර කේත ඔබේ ලේඛනයට ගතික පෙළ සහ ක්‍රමලේඛන ටිකක් එකතු කිරීමට ඉඩ සලසන තවත් පැරණි MS Word විශේෂාංගයකි. වඩාත්ම පැහැදිලි උදාහරණය වන්නේ පිටු අංක ක්ෂේත්‍රය වන අතර, එය {PAGE *MERGEFORMAT} අගය භාවිතයෙන් පාදකය තුළට ඇතුළු කළ හැක. මෙය පිටු අංක ස්වයංක්‍රීයව ජනනය වීමට ඉඩ සලසයි.

The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields
ඉඟිය: ඇතුල් කිරීම යටතේ ඔබට ක්ෂේත්‍ර මෙනු අයිතමය සොයාගත හැක.

මට මතකයි මම මුලින්ම වර්ඩ් හි මෙම විශේෂාංගය සොයාගත් විට, මම පුදුමයට පත් වූ බව. පැච් එය අක්‍රිය කරන තුරු, වර්ඩ් තවමත් ඩීඩීඊ ක්ෂේත්‍ර විකල්පයට සහය දක්වයි. අදහස වූයේ DDE විසින් Word හට යෙදුම සමඟ සෘජුවම සන්නිවේදනය කිරීමට ඉඩ සලසන අතර එමඟින් වැඩසටහනේ ප්‍රතිදානය ලේඛනයකට ලබා දිය හැකි බවයි. එකල එය ඉතා තරුණ තාක්‍ෂණයක් විය - බාහිර යෙදුම් සමඟ දත්ත හුවමාරුව සඳහා සහාය. එය පසුව COM තාක්ෂණය දක්වා දියුණු කරන ලද අතර, අපි එය ද පහත බලමු.

අවසානයේදී, හැකර්වරුන්ට මෙම DDE යෙදුම විධාන කවචයක් විය හැකි බව තේරුම් ගත් අතර, එය ඇත්ත වශයෙන්ම PowerShell දියත් කරන ලද අතර, එතැන් සිට හැකර්වරුන්ට අවශ්‍ය ඕනෑම දෙයක් කළ හැකිය.
පහත තිර රුව මා මෙම රහසිගත තාක්‍ෂණය භාවිතා කළ ආකාරය පෙන්වයි: DDE ක්ෂේත්‍රයෙන් කුඩා PowerShell ස්ක්‍රිප්ට් එකක් (මෙතැන් සිට PS ලෙස හැඳින්වේ) ප්‍රහාරයේ දෙවන අදියර දියත් කරන තවත් PS ස්ක්‍රිප්ට් එකක් පූරණය කරයි.

The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields
සාදන ලද DDEAUTO ක්ෂේත්‍රය රහසිගතව කවචය ආරම්භ කිරීමට උත්සාහ කරන බවට උත්පතන අනතුරු ඇඟවීම සඳහා Windows වෙත ස්තූතියි

අවදානම සූරාකෑමේ වඩාත් කැමති ක්‍රමය නම් ස්ක්‍රිප්ට් ස්වයංක්‍රීයව ක්‍රියාත්මක වන DDEAUTO ක්ෂේත්‍රය සමඟ ප්‍රභේදයක් භාවිතා කිරීමයි. විවෘත කරන විට වචන ලේඛනය.
අපි හිතමු මේකට කරන්න පුලුවන් දේ ගැන.

නවක හැකර්වරයෙකු ලෙස, ඔබට, උදාහරණයක් ලෙස, ඔබ ෆෙඩරල් බදු සේවාවෙන් යැයි මවාපාමින්, තතුබෑම් විද්‍යුත් තැපෑලක් යැවිය හැක, සහ DDEAUTO ක්ෂේත්‍රය පළමු අදියර සඳහා PS ස්ක්‍රිප්ට් සමඟ කාවැද්දීමට (ඩ්‍රොපර්, අත්‍යවශ්‍යයෙන්ම). තවද ඔබ මා තුළ කළාක් මෙන් මැක්‍රෝස් ආදියෙහි සැබෑ කේතීකරණයක් කිරීමට අවශ්‍ය නැත පෙර ලිපිය.
වින්දිතයා ඔබේ ලේඛනය විවෘත කරයි, කාවැද්දූ ස්ක්‍රිප්ට් එක සක්‍රිය කර, හැකර් පරිගණකය තුළට පැමිණේ. මගේ නඩුවේදී, දුරස්ථ PS ස්ක්‍රිප්ට් පණිවිඩයක් මුද්‍රණය කරයි, නමුත් එය දුරස්ථ කවච ප්‍රවේශය සපයන PS Empire සේවාදායකයා පහසුවෙන් දියත් කළ හැකිය.
වින්දිතයාට කිසිවක් පැවසීමට කාලය ලැබීමට පෙර, හැකර්වරුන් ගමේ ධනවත්ම යෞවනයන් බවට පත්වනු ඇත.

The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields
කවචය දියත් කර ඇත්තේ සුළු කේතීකරණයකින් තොරවය. දරුවෙකුට පවා එය කළ හැකිය!

DDE සහ ක්ෂේත්ර

මයික්‍රොසොෆ්ට් පසුව වර්ඩ් හි ඩීඩීඊ අක්‍රීය කළේය, නමුත් එම විශේෂාංගය හුදෙක් වැරදි ලෙස භාවිතා කළ බව සමාගම ප්‍රකාශ කිරීමට පෙර නොවේ. ඕනෑම දෙයක් වෙනස් කිරීමට ඔවුන්ගේ අකමැත්ත තේරුම් ගත හැකිය. මගේ අත්දැකීම අනුව, ලේඛනයක් විවෘත කිරීමේදී ක්ෂේත්‍ර යාවත්කාලීන කිරීම සක්‍රීය කර ඇති නමුත්, වර්ඩ් මැක්‍රෝස් තොරතුරු තාක්‍ෂණය මඟින් අක්‍රිය කළ (නමුත් දැනුම්දීමක් පෙන්වමින්) උදාහරණයක් මමම දැක ඇත්තෙමි. මාර්ගය වන විට, ඔබට Word සිටුවම් කොටසේ අනුරූප සැකසුම් සොයාගත හැකිය.

කෙසේ වෙතත්, ක්ෂේත්‍ර යාවත්කාලීන කිරීම සක්‍රීය කර ඇතත්, ඉහත DDE හි සිදු වන පරිදි, ක්ෂේත්‍රයක් මකා දැමූ දත්ත වෙත ප්‍රවේශය ඉල්ලා සිටින විට Microsoft Word අතිරේකව පරිශීලකයාට දැනුම් දෙයි. Microsoft ඇත්තටම ඔබට අනතුරු අඟවනවා.

නමුත් බොහෝ විට, පරිශීලකයින් තවමත් මෙම අනතුරු ඇඟවීම නොසලකා හරින අතර Word හි ක්ෂේත්ර යාවත්කාලීන කිරීම සක්රිය කරනු ඇත. භයානක DDE විශේෂාංගය අක්‍රිය කිරීම ගැන මයික්‍රොසොෆ්ට් වෙත ස්තූති කිරීමට මෙය දුර්ලභ අවස්ථාවකි.

අද වන විට පැච් නොකළ වින්ඩෝස් පද්ධතියක් සොයා ගැනීම කොතරම් දුෂ්කරද?

මෙම පරීක්ෂණය සඳහා, මම අතථ්‍ය ඩෙස්ක්ටොප් එකකට ප්‍රවේශ වීමට AWS Workspaces භාවිතා කළෙමි. මේ ආකාරයෙන් මට DDEAUTO ක්ෂේත්‍රය ඇතුළු කිරීමට ඉඩ සලසන unpatched MS Office virtual machine එකක් ලැබුණා. ඒ හා සමාන ආකාරයකින් ඔබට තවමත් අවශ්‍ය ආරක්ෂක පැච් ස්ථාපනය කර නොමැති වෙනත් සමාගම් සොයා ගත හැකි බවට මට සැකයක් නැත.

වස්තූන්ගේ අභිරහස

ඔබ මෙම පැච් එක ස්ථාපනය කළද, MS Office හි වෙනත් ආරක්ෂක සිදුරු තිබේ, එය හැකර්වරුන්ට අපි Word සමඟ කළ දේට සමාන දෙයක් කිරීමට ඉඩ සලසයි. ඊළඟ දර්ශනයේදී අපි ඉගෙන ගනිමු කිසිදු කේතයක් ලිවීමෙන් තොරව තතුබෑම් ප්‍රහාරයක් සඳහා ඇමක් ලෙස Excel භාවිතා කරන්න.

මෙම අවස්ථාව තේරුම් ගැනීමට, අපි Microsoft Component Object Model හෝ කෙටියෙන් මතක තබා ගනිමු COM (සංරචක වස්තු ආකෘතිය).

COM 1990 ගණන්වල සිට පවතින අතර, RPC දුරස්ථ ක්‍රියා පටිපාටි ඇමතුම් මත පදනම්ව "භාෂා-උදාසීන, වස්තු-නැඹුරු සංරචක ආකෘතියක්" ලෙස අර්ථ දැක්වේ. COM පාරිභාෂිතය පිළිබඳ සාමාන්‍ය අවබෝධයක් සඳහා, කියවන්න මෙම තනතුර StackOverflow මත.

මූලික වශයෙන්, ඔබට COM යෙදුමක් එක්සෙල් හෝ වර්ඩ් ක්‍රියාත්මක කළ හැකි හෝ ක්‍රියාත්මක වන වෙනත් ද්විමය ගොනුවක් ලෙස සිතිය හැකිය.

COM යෙදුමක් ද ධාවනය කළ හැකි බව පෙනේ පිටපත - JavaScript හෝ VBScript. තාක්ෂණික වශයෙන් එය හැඳින්වේ scriptlet. Windows හි ගොනු සඳහා .sct දිගුව ඔබ දැක ඇති - මෙය scriptlets සඳහා වන නිල දිගුවයි. මූලික වශයෙන්, ඒවා XML එතුමකින් ඔතා ඇති ස්ක්‍රිප්ට් කේතයකි: 

<?XML version="1.0"?>

<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[

var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");

]]>
</script>
</scriptlet>

හැකර්වරුන් සහ පෙන්ටෙස්ටර්වරුන් විසින් COM වස්තු සහ ඒ අනුව scriptlets ද පිළිගන්නා වෙනම උපයෝගිතා සහ යෙදුම් වින්ඩෝස් වල ඇති බව සොයාගෙන ඇත.

මට pubprn ලෙස හඳුන්වන VBS හි ලියා ඇති වින්ඩෝස් උපයෝගීතාවයකට ස්ක්‍රිප්ට්ලට් එකක් ලබා දිය හැක. එය C:Windowssystem32Printing_Admin_Scripts හි ගැඹුරේ පිහිටා ඇත. මාර්ගය වන විට, වස්තූන් පරාමිති ලෙස පිළිගන්නා වෙනත් වින්ඩෝස් උපයෝගිතා තිබේ. අපි මුලින්ම මේ උදාහරණය බලමු.

The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields
මුද්‍රණ පිටපතකින් වුවද කවචය දියත් කළ හැකි වීම ස්වාභාවිකය. Microsoft යන්න!

පරීක්ෂණයක් ලෙස, මම සරල දුරස්ථ ස්ක්‍රිප්ට්ලට් එකක් නිර්මාණය කළ අතර එය කවචයක් දියත් කරන අතර “ඔබ දැන් ස්ක්‍රිප්ට් කර ඇත!” යන විහිලු පණිවිඩයක් මුද්‍රණය කළෙමි. අත්‍යවශ්‍යයෙන්ම, pubprn මගින් ස්ක්‍රිප්ට්ලට් වස්තුවක් ක්ෂණිකව ලබා දෙයි, VBScript කේතයට දවටනයක් ධාවනය කිරීමට ඉඩ සලසයි. මෙම ක්‍රමය මඟින් ඔබේ පද්ධතියට රිංගා සැඟවීමට අවශ්‍ය හැකර්වරුන්ට පැහැදිලි වාසියක් ලබා දේ.

Excel පැතුරුම්පත් භාවිතා කරමින් හැකර්වරුන් විසින් COM ස්ක්‍රිප්ට්ලට් සූරාකෑමට ලක්වන ආකාරය මීළඟ පෝස්ට් එකෙන් පැහැදිලි කරන්නම්.

ඔබේ ගෙදර වැඩ සඳහා, බලන්න මෙම වීඩියෝව Derbycon 2016 වෙතින්, හැකර්වරුන් ස්ක්‍රිප්ට්ලට් භාවිතා කරන ආකාරය හරියටම පැහැදිලි කරයි. ඒ වගේම කියෙව්වා මෙම ලිපිය ස්ක්‍රිප්ට්ලට් සහ යම් ආකාරයක මොනිකර් ගැන.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න