මෙම ලිපිය Fileless Malware මාලාවේ කොටසකි. මාලාවේ අනෙකුත් සියලුම කොටස්:
The Adventures of the Elusive Malware, I කොටස The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts The Adventures of the Elusive Malware, III කොටස: සිනහව සහ ලාභය සඳහා පැටලී ඇති VBA ස්ක්රිප්ට් The Adventures of the Elusive Malware, IV කොටස: DDE සහ Word Document Fields The Adventures of the Elusive Malware, V Part: Even More DDE සහ COM Scriptlets (අපි මෙහි සිටිමු)
මෙම ලිපි මාලාවේ, අපි හැකර්වරුන්ගේ අවම උත්සාහයක් අවශ්ය වන ප්රහාරක ක්රම ගවේෂණය කරන්නෙමු. අතීතයේ
නිවැරදි කිරීම අක්රිය කරන රෙජිස්ට්රි ප්රවේශයක් එක් කරයි DDE කාර්යයන් වචනයෙන්. ඔබට තවමත් මෙම ක්රියාකාරිත්වය අවශ්ය නම්, පැරණි DDE හැකියාවන් සක්රීය කිරීමෙන් ඔබට මෙම විකල්පය ආපසු ලබා දිය හැක.
කෙසේ වෙතත්, මුල් පැච් එක ආවරණය කළේ මයික්රොසොෆ්ට් වර්ඩ් පමණි. මෙම DDE දුර්වලතා වෙනත් Microsoft Office නිෂ්පාදනවල පවතින අතර ඒවා කේත රහිත ප්රහාර වලදීද භාවිතා කළ හැකිද? ඔව්, සහතිකයි. උදාහරණයක් ලෙස, ඔබට ඒවා Excel හි ද සොයාගත හැකිය.
Night of the Live DDE
මට මතකයි මම ගිය සැරේ COM ස්ක්රිප්ට්ලට් වල විස්තරේ නැවතුනා. මෙම ලිපියෙන් පසුව මම ඔවුන් වෙත පැමිණෙන බවට මම පොරොන්දු වෙමි.
මේ අතර, එක්සෙල් අනුවාදයේ DDE හි තවත් නරක පැත්තක් දෙස බලමු. Word වල වගේම සමහරක් Excel හි DDE හි සැඟවුණු විශේෂාංග වැඩි උත්සාහයකින් තොරව කේතය ක්රියාත්මක කිරීමට ඔබට ඉඩ සලසයි. වැඩුණු Word පරිශීලකයෙකු ලෙස, මම ක්ෂේත්ර ගැන හුරුපුරුදු වූ නමුත් DDE හි කාර්යයන් ගැන කිසිසේත්ම නොවේ.
එක්සෙල් හි පහත දැක්වෙන පරිදි මට සෛලයකින් කවචයක් ඇමතීමට හැකි බව දැනගත් විට මම පුදුමයට පත් විය.
මෙය කළ හැකි බව ඔබ දැන සිටියාද? පුද්ගලිකව, මම එසේ නොකරමි
වින්ඩෝස් කවචයක් දියත් කිරීමේ මෙම හැකියාව DDE අනුග්රහයෙනි. ඔබට තවත් බොහෝ දේ ගැන සිතිය හැකිය
Excel හි ඇති DDE කාර්යයන් භාවිතයෙන් ඔබට සම්බන්ධ විය හැකි යෙදුම්.
ඔයත් හිතන්නේ මම හිතන දේමද?
අපගේ in-cell විධානයට PowerShell සැසියක් ආරම්භ කිරීමට ඉඩ දෙන්න, එය සබැඳිය බාගත කර ක්රියාත්මක කරයි - මෙය
Excel හි දුරස්ථ කේතය පූරණය කිරීමට සහ ධාවනය කිරීමට කුඩා PowerShell අලවන්න
නමුත් අල්ලා ගැනීමක් තිබේ: Excel හි වැඩ කිරීමට මෙම සූත්රය සඳහා ඔබ මෙම දත්ත සෛලයට පැහැදිලිව ඇතුළත් කළ යුතුය. හැකර්වරයෙකුට මෙම DDE විධානය දුරස්ථව ක්රියාත්මක කරන්නේ කෙසේද? කාරණය වන්නේ එක්සෙල් වගුවක් විවෘත වූ විට, එක්සෙල් විසින් DDE හි ඇති සියලුම සබැඳි යාවත්කාලීන කිරීමට උත්සාහ කරනු ඇත. විශ්වාස මධ්යස්ථාන සැකසීම් දිගු කලක් තිස්සේ මෙය අක්රිය කිරීමට හෝ බාහිර දත්ත මූලාශ්ර වෙත සබැඳි යාවත්කාලීන කිරීමේදී අනතුරු ඇඟවීමට හැකියාව ඇත.
නවතම පැච් නොමැතිව වුවද, ඔබට DDE හි ස්වයංක්රීය සබැඳි යාවත්කාලීන කිරීම අක්රිය කළ හැක
Microsoft මුලින් ම
හොඳයි, සිදුවීම් ලොග ගැන කුමක් කිව හැකිද?
කෙසේ වෙතත් මයික්රොසොෆ්ට් MS Word සහ Excel සඳහා DDE අතහැර දැමූ අතර, අවසානයේදී DDE යනු ක්රියාකාරීත්වයට වඩා දෝෂයක් වැනි බව හඳුනා ගත්තේය. කිසියම් හේතුවක් නිසා ඔබ තවමත් මෙම පැච් ස්ථාපනය කර නොමැති නම්, ඔබට තවමත් ස්වයංක්රීය සබැඳි යාවත්කාලීන අක්රිය කිරීමෙන් සහ ලේඛන සහ පැතුරුම්පත් විවෘත කිරීමේදී සබැඳි යාවත්කාලීන කිරීමට පරිශීලකයින් පොළඹවන සැකසුම් සක්රීය කිරීමෙන් ඔබට තවමත් DDE ප්රහාරයක අවදානම අඩු කළ හැකිය.
දැන් ඩොලර් මිලියන ප්රශ්නය: ඔබ මෙම ප්රහාරයේ ගොදුරක් නම්, Word ක්ෂේත්රවලින් හෝ Excel සෛල වලින් දියත් කරන ලද PowerShell සැසි ලොගයේ පෙන්වයිද?
ප්රශ්නය: DDE හරහා දියත් කරන ලද PowerShell සැසි ලොග් වී තිබේද? පිළිතුර: ඔව්
ඔබ පවර්ෂෙල් සැසි මැක්රෝ එකක් ලෙස නොව Excel සෛලයකින් සෘජුවම ක්රියාත්මක කරන විට, වින්ඩෝස් මෙම සිදුවීම් ලොග් කරනු ඇත (ඉහත බලන්න). ඒ අතරම, ආරක්ෂක කණ්ඩායමට PowerShell සැසිය, Excel ලේඛනය සහ විද්යුත් තැපැල් පණිවිඩය අතර ඇති සියලුම තිත් සම්බන්ධ කිරීම සහ ප්රහාරය ආරම්භ වූයේ කොතැනින්ද යන්න තේරුම් ගැනීම පහසු වනු ඇතැයි මට ප්රකාශ කළ නොහැක. නොපැහැදිලි අනිෂ්ට මෘදුකාංග පිළිබඳ මගේ නිමක් නැති ලිපි මාලාවේ අවසාන ලිපියෙන් මම මෙය වෙත ආපසු එන්නෙමි.
කොහොමද අපේ COM එක?
පෙර දී
එක් අයෙක් ඉතා බුද්ධිමත් බව පෙනී ගියේය
උත්පාතය! COM scriptlets භාවිතයෙන් shell එකක් දියත් කිරීමට තවත් රහසිගත, නිහඬ ක්රමයක්
පහත් මට්ටමේ කේත පරීක්ෂාවකින් පසුව, පර්යේෂකයා එය ඇත්ත වශයෙන්ම කුමක්දැයි සොයා ගත්තේය දෝෂය පැකේජ මෘදුකාංගයේ. එය COM ස්ක්රිප්ට්ලට් ධාවනය කිරීමට අදහස් කළේ නැත, නමුත් ගොනු වෙත සම්බන්ධ කිරීමට පමණි. මෙම අවදානම සඳහා දැනටමත් පැච් එකක් තිබේදැයි මට විශ්වාස නැත. Office 2010 පෙර ස්ථාපනය කර ඇති Amazon WorkSpaces භාවිතා කරන මගේම අධ්යයනයේ දී, මට ප්රතිඵල අනුකරණය කිරීමට හැකි විය. කෙසේ වෙතත්, මම ටිකක් පසුව නැවත උත්සාහ කළ නමුත් එය සාර්ථක වූයේ නැත.
මම ඔබට රසවත් දේවල් රාශියක් පැවසූ බවත්, ඒ සමඟම හැකර්වරුන්ට ඔබේ සමාගමට එක් හෝ තවත් සමාන ආකාරයකින් විනිවිද යා හැකි බවත් මම බලාපොරොත්තු වෙමි. ඔබ නවතම මයික්රොසොෆ්ට් පැච් සියල්ලම ස්ථාපනය කළත්, හැකර්වරුන්ට ඔබේ පද්ධතිය තුළ අඩිතාලමක් ලබා ගැනීමට තවමත් බොහෝ මෙවලම් තිබේ, මම මෙම මාලාව ආරම්භ කළ VBA මැක්රෝවල සිට Word හෝ Excel හි අනිෂ්ට ගෙවීම් දක්වා.
මෙම කතාවේ අවසාන (මම පොරොන්දු වෙනවා) ලිපියෙන්, මම ස්මාර්ට් ආරක්ෂාව සපයන ආකාරය ගැන කතා කරමි.
මූලාශ්රය: www.habr.com