මෙම ලිපිය Fileless Malware මාලාවේ කොටසකි. මාලාවේ අනෙකුත් සියලුම කොටස්:
- (අපි මෙහි සිටිමු)
මෙම ලිපි මාලාවේ, අපි හැකර්වරුන්ගේ අවම උත්සාහයක් අවශ්ය වන ප්රහාරක ක්රම ගවේෂණය කරන්නෙමු. අතීතයේ මයික්රොසොෆ්ට් වර්ඩ් හි ඩීඩීඊ ඔටෝෆීල්ඩ් පේලෝඩ් වෙත කේතය ඇතුළත් කළ හැකි බව අපි ආවරණය කර ඇත්තෙමු. තතුබෑම් විද්යුත් තැපෑලකට අමුණා ඇති එවැනි ලේඛනයක් විවෘත කිරීමෙන්, නොසැලකිලිමත් පරිශීලකයෙකු ප්රහාරකයාට ඔහුගේ පරිගණකයේ පාදක වීමට ඉඩ සලසයි. කෙසේ වෙතත්, 2017 අවසානයේ මයික්රොසොෆ්ට් DDE හි ප්රහාර සඳහා මෙම හිඩැස.
නිවැරදි කිරීම අක්රිය කරන රෙජිස්ට්රි ප්රවේශයක් එක් කරයි DDE කාර්යයන් වචනයෙන්. ඔබට තවමත් මෙම ක්රියාකාරිත්වය අවශ්ය නම්, පැරණි DDE හැකියාවන් සක්රීය කිරීමෙන් ඔබට මෙම විකල්පය ආපසු ලබා දිය හැක.
කෙසේ වෙතත්, මුල් පැච් එක ආවරණය කළේ මයික්රොසොෆ්ට් වර්ඩ් පමණි. මෙම DDE දුර්වලතා වෙනත් Microsoft Office නිෂ්පාදනවල පවතින අතර ඒවා කේත රහිත ප්රහාර වලදීද භාවිතා කළ හැකිද? ඔව්, සහතිකයි. උදාහරණයක් ලෙස, ඔබට ඒවා Excel හි ද සොයාගත හැකිය.
Night of the Live DDE
මට මතකයි මම ගිය සැරේ COM ස්ක්රිප්ට්ලට් වල විස්තරේ නැවතුනා. මෙම ලිපියෙන් පසුව මම ඔවුන් වෙත පැමිණෙන බවට මම පොරොන්දු වෙමි.
මේ අතර, එක්සෙල් අනුවාදයේ DDE හි තවත් නරක පැත්තක් දෙස බලමු. Word වල වගේම සමහරක් Excel හි DDE හි සැඟවුණු විශේෂාංග වැඩි උත්සාහයකින් තොරව කේතය ක්රියාත්මක කිරීමට ඔබට ඉඩ සලසයි. වැඩුණු Word පරිශීලකයෙකු ලෙස, මම ක්ෂේත්ර ගැන හුරුපුරුදු වූ නමුත් DDE හි කාර්යයන් ගැන කිසිසේත්ම නොවේ.
එක්සෙල් හි පහත දැක්වෙන පරිදි මට සෛලයකින් කවචයක් ඇමතීමට හැකි බව දැනගත් විට මම පුදුමයට පත් විය.
මෙය කළ හැකි බව ඔබ දැන සිටියාද? පුද්ගලිකව, මම එසේ නොකරමි
වින්ඩෝස් කවචයක් දියත් කිරීමේ මෙම හැකියාව DDE අනුග්රහයෙනි. ඔබට තවත් බොහෝ දේ ගැන සිතිය හැකිය
Excel හි ඇති DDE කාර්යයන් භාවිතයෙන් ඔබට සම්බන්ධ විය හැකි යෙදුම්.
ඔයත් හිතන්නේ මම හිතන දේමද?
අපගේ in-cell විධානයට PowerShell සැසියක් ආරම්භ කිරීමට ඉඩ දෙන්න, එය සබැඳිය බාගත කර ක්රියාත්මක කරයි - මෙය , අපි දැනටමත් භාවිතා කර ඇත. පහත බලන්න:
Excel හි දුරස්ථ කේතය පූරණය කිරීමට සහ ධාවනය කිරීමට කුඩා PowerShell අලවන්න
නමුත් අල්ලා ගැනීමක් තිබේ: Excel හි වැඩ කිරීමට මෙම සූත්රය සඳහා ඔබ මෙම දත්ත සෛලයට පැහැදිලිව ඇතුළත් කළ යුතුය. හැකර්වරයෙකුට මෙම DDE විධානය දුරස්ථව ක්රියාත්මක කරන්නේ කෙසේද? කාරණය වන්නේ එක්සෙල් වගුවක් විවෘත වූ විට, එක්සෙල් විසින් DDE හි ඇති සියලුම සබැඳි යාවත්කාලීන කිරීමට උත්සාහ කරනු ඇත. විශ්වාස මධ්යස්ථාන සැකසීම් දිගු කලක් තිස්සේ මෙය අක්රිය කිරීමට හෝ බාහිර දත්ත මූලාශ්ර වෙත සබැඳි යාවත්කාලීන කිරීමේදී අනතුරු ඇඟවීමට හැකියාව ඇත.
නවතම පැච් නොමැතිව වුවද, ඔබට DDE හි ස්වයංක්රීය සබැඳි යාවත්කාලීන කිරීම අක්රිය කළ හැක
Microsoft මුලින් ම වර්ඩ් සහ එක්සෙල් හි ඩීඩීඊ දුර්වලතා වැළැක්වීම සඳහා 2017 සමාගම් ස්වයංක්රීය සබැඳි යාවත්කාලීන අක්රිය කළ යුතුය. 2018 ජනවාරි මාසයේදී, Microsoft විසින් Excel 2007, 2010 සහ 2013 සඳහා DDE පෙරනිමියෙන් අක්රිය කරන පැච් නිකුත් කරන ලදී. මෙය Computerworld පැච් එකේ සියලුම විස්තර විස්තර කරයි.
හොඳයි, සිදුවීම් ලොග ගැන කුමක් කිව හැකිද?
කෙසේ වෙතත් මයික්රොසොෆ්ට් MS Word සහ Excel සඳහා DDE අතහැර දැමූ අතර, අවසානයේදී DDE යනු ක්රියාකාරීත්වයට වඩා දෝෂයක් වැනි බව හඳුනා ගත්තේය. කිසියම් හේතුවක් නිසා ඔබ තවමත් මෙම පැච් ස්ථාපනය කර නොමැති නම්, ඔබට තවමත් ස්වයංක්රීය සබැඳි යාවත්කාලීන අක්රිය කිරීමෙන් සහ ලේඛන සහ පැතුරුම්පත් විවෘත කිරීමේදී සබැඳි යාවත්කාලීන කිරීමට පරිශීලකයින් පොළඹවන සැකසුම් සක්රීය කිරීමෙන් ඔබට තවමත් DDE ප්රහාරයක අවදානම අඩු කළ හැකිය.
දැන් ඩොලර් මිලියන ප්රශ්නය: ඔබ මෙම ප්රහාරයේ ගොදුරක් නම්, Word ක්ෂේත්රවලින් හෝ Excel සෛල වලින් දියත් කරන ලද PowerShell සැසි ලොගයේ පෙන්වයිද?
ප්රශ්නය: DDE හරහා දියත් කරන ලද PowerShell සැසි ලොග් වී තිබේද? පිළිතුර: ඔව්
ඔබ පවර්ෂෙල් සැසි මැක්රෝ එකක් ලෙස නොව Excel සෛලයකින් සෘජුවම ක්රියාත්මක කරන විට, වින්ඩෝස් මෙම සිදුවීම් ලොග් කරනු ඇත (ඉහත බලන්න). ඒ අතරම, ආරක්ෂක කණ්ඩායමට PowerShell සැසිය, Excel ලේඛනය සහ විද්යුත් තැපැල් පණිවිඩය අතර ඇති සියලුම තිත් සම්බන්ධ කිරීම සහ ප්රහාරය ආරම්භ වූයේ කොතැනින්ද යන්න තේරුම් ගැනීම පහසු වනු ඇතැයි මට ප්රකාශ කළ නොහැක. නොපැහැදිලි අනිෂ්ට මෘදුකාංග පිළිබඳ මගේ නිමක් නැති ලිපි මාලාවේ අවසාන ලිපියෙන් මම මෙය වෙත ආපසු එන්නෙමි.
කොහොමද අපේ COM එක?
පෙර දී මම COM scriptlets යන මාතෘකාව ස්පර්ශ කළෙමි. ඔවුන් තමන්ටම පහසු ය. , එය ඔබට කේතය සම්මත කිරීමට ඉඩ සලසයි, JScript කියන්න, COM වස්තුවක් ලෙස. නමුත් පසුව ස්ක්රිප්ට්ලට් හැකර්වරුන් විසින් සොයා ගන්නා ලද අතර, මෙය අනවශ්ය මෙවලම් භාවිතයෙන් තොරව වින්දිතයාගේ පරිගණකයේ අඩිතාලමක් ලබා ගැනීමට ඉඩ සලසයි. මෙය Derbycon වෙතින් regsrv32 සහ rundll32 වැනි වින්ඩෝස් මෙවලම් විදහා දක්වන අතර, ඒවා තර්කයක් ලෙස දුරස්ථ ස්ක්රිප්ට්ලට් පිළිගන්නා අතර හැකර්වරු අනිෂ්ට මෘදුකාංග ආධාරයෙන් තොරව ඔවුන්ගේ ප්රහාරය සිදු කරති. මම පසුගිය වතාවේ පෙන්වා දුන් පරිදි, ඔබට JScript scriptlet එකක් භාවිතයෙන් PowerShell විධානයන් පහසුවෙන් ක්රියාත්මක කළ හැක.
එක් අයෙක් ඉතා බුද්ධිමත් බව පෙනී ගියේය COM ස්ක්රිප්ට්ලට් එකක් ධාවනය කිරීමට ක්රමයක් සොයා ගත්තා в එක්සෙල් ලේඛනය. ලේඛනයකට හෝ පින්තූරයකට සබැඳියක් කොටුවකට ඇතුළු කිරීමට උත්සාහ කරන විට, යම් පැකේජයක් එයට ඇතුළත් කර ඇති බව ඔහු සොයා ගත්තේය. තවද මෙම පැකේජය නිශ්ශබ්දව දුරස්ථ ස්ක්රිප්ට්ලට් එකක් ආදානය ලෙස පිළිගනී (පහත බලන්න).
උත්පාතය! COM scriptlets භාවිතයෙන් shell එකක් දියත් කිරීමට තවත් රහසිගත, නිහඬ ක්රමයක්
පහත් මට්ටමේ කේත පරීක්ෂාවකින් පසුව, පර්යේෂකයා එය ඇත්ත වශයෙන්ම කුමක්දැයි සොයා ගත්තේය දෝෂය පැකේජ මෘදුකාංගයේ. එය COM ස්ක්රිප්ට්ලට් ධාවනය කිරීමට අදහස් කළේ නැත, නමුත් ගොනු වෙත සම්බන්ධ කිරීමට පමණි. මෙම අවදානම සඳහා දැනටමත් පැච් එකක් තිබේදැයි මට විශ්වාස නැත. Office 2010 පෙර ස්ථාපනය කර ඇති Amazon WorkSpaces භාවිතා කරන මගේම අධ්යයනයේ දී, මට ප්රතිඵල අනුකරණය කිරීමට හැකි විය. කෙසේ වෙතත්, මම ටිකක් පසුව නැවත උත්සාහ කළ නමුත් එය සාර්ථක වූයේ නැත.
මම ඔබට රසවත් දේවල් රාශියක් පැවසූ බවත්, ඒ සමඟම හැකර්වරුන්ට ඔබේ සමාගමට එක් හෝ තවත් සමාන ආකාරයකින් විනිවිද යා හැකි බවත් මම බලාපොරොත්තු වෙමි. ඔබ නවතම මයික්රොසොෆ්ට් පැච් සියල්ලම ස්ථාපනය කළත්, හැකර්වරුන්ට ඔබේ පද්ධතිය තුළ අඩිතාලමක් ලබා ගැනීමට තවමත් බොහෝ මෙවලම් තිබේ, මම මෙම මාලාව ආරම්භ කළ VBA මැක්රෝවල සිට Word හෝ Excel හි අනිෂ්ට ගෙවීම් දක්වා.
මෙම කතාවේ අවසාන (මම පොරොන්දු වෙනවා) ලිපියෙන්, මම ස්මාර්ට් ආරක්ෂාව සපයන ආකාරය ගැන කතා කරමි.
මූලාශ්රය: www.habr.com