Tento článok je súčasťou série Fileless Malware. Všetky ostatné diely seriálu:
- (Sme tu)
V tejto sérii článkov skúmame spôsoby útoku, ktoré si vyžadujú minimálne úsilie zo strany hackerov. V minulosti Popísali sme, že je možné vložiť samotný kód do užitočného zaťaženia automatického poľa DDE v programe Microsoft Word. Otvorením takéhoto dokumentu pripojeného k phishingovému e-mailu umožní neopatrný používateľ útočníkovi získať oporu v jeho počítači. Koncom roka 2017 však Microsoft túto medzeru pre útoky na DDE.
Oprava pridá položku databázy Registry, ktorá zakáže Funkcie DDE vo Worde. Ak túto funkciu stále potrebujete, môžete túto možnosť vrátiť povolením starých funkcií DDE.
Pôvodná oprava však pokrývala iba Microsoft Word. Existujú tieto zraniteľnosti DDE v iných produktoch balíka Microsoft Office, ktoré by sa dali zneužiť aj pri útokoch bez kódu? Áno samozrejme. Nájdete ich napríklad aj v Exceli.
Night of the Living DDE
Pamätám si, že minule som sa zastavil pri popise COM skriptletov. Sľubujem, že sa k nim dostanem neskôr v tomto článku.
Medzitým sa pozrime na ďalšiu zlú stránku DDE vo verzii Excel. Rovnako ako vo Worde, niektoré skryté funkcie DDE v Exceli umožňujú spustiť kód bez veľkého úsilia. Ako používateľ Wordu, ktorý vyrástol, som bol oboznámený s poliami, ale vôbec nie s funkciami v DDE.
Bol som ohromený, keď som sa dozvedel, že v Exceli môžem volať shell z bunky, ako je uvedené nižšie:
Vedeli ste, že je to možné? Osobne nie
Táto schopnosť spustiť Windows shell je poskytnutá DDE. Môžete myslieť na mnoho iných vecí
Aplikácie, ku ktorým sa môžete pripojiť pomocou vstavaných funkcií DDE v Exceli.
Myslíš na to isté čo ja?
Nechajte náš príkaz v bunke spustiť reláciu PowerShell, ktorá potom stiahne a spustí odkaz – toto , ktorý sme už predtým použili. Pozri nižšie:
Ak chcete načítať a spustiť vzdialený kód v Exceli, stačí vložiť trochu PowerShellu
Má to však háčik: tieto údaje musíte explicitne zadať do bunky, aby tento vzorec fungoval v Exceli. Ako môže hacker vykonať tento príkaz DDE na diaľku? Faktom je, že keď je otvorená tabuľka Excel, Excel sa pokúsi aktualizovať všetky odkazy v DDE. Nastavenia Centra dôveryhodnosti už dávno majú možnosť túto funkciu deaktivovať alebo upozorniť pri aktualizácii odkazov na externé zdroje údajov.
Aj bez najnovších opráv môžete zakázať automatickú aktualizáciu odkazov v DDE
Microsoft pôvodne sám Spoločnosti by v roku 2017 mali zakázať automatické aktualizácie odkazov, aby zabránili zraniteľnosti DDE vo Worde a Exceli. V januári 2018 spoločnosť Microsoft vydala opravy pre Excel 2007, 2010 a 2013, ktoré predvolene zakazujú DDE. Toto Computerworld popisuje všetky detaily patchu.
No a čo denníky udalostí?
Microsoft napriek tomu opustil DDE pre MS Word a Excel, čím konečne uznal, že DDE je skôr chybou ako funkcionalitou. Ak ste z nejakého dôvodu ešte nenainštalovali tieto záplaty, stále môžete znížiť riziko útoku DDE zakázaním automatických aktualizácií odkazov a povolením nastavení, ktoré pri otváraní dokumentov a tabuliek vyzývajú používateľov k aktualizácii odkazov.
Teraz otázka za milión: Ak ste obeťou tohto útoku, zobrazia sa v protokole relácie PowerShell spustené z polí Wordu alebo buniek Excelu?
Otázka: Spúšťajú sa relácie PowerShell cez protokol DDE? odpoveď: áno
Keď spustíte relácie PowerShell priamo z bunky Excelu a nie ako makro, systém Windows zaznamená tieto udalosti (pozri vyššie). Zároveň nemôžem tvrdiť, že pre bezpečnostný tím bude ľahké spojiť všetky body medzi reláciou PowerShell, dokumentom Excel a e-mailovou správou a pochopiť, kde sa útok začal. Vrátim sa k tomu v poslednom článku mojej nekončiacej série o nepolapiteľnom malvéri.
Aký je náš COM?
V predošlom Dotkol som sa témy skriptletov COM. Sú pohodlné samy o sebe. , ktorý vám umožňuje odovzdať kód, povedzme JScript, jednoducho ako objekt COM. Potom však skriptlety objavili hackeri, čo im umožnilo získať oporu v počítači obete bez použitia zbytočných nástrojov. Toto od Derbycon demonštruje vstavané nástroje Windows, ako sú regsrv32 a rundll32, ktoré akceptujú vzdialené skriptlety ako argumenty a hackeri v podstate vykonajú svoj útok bez pomoci škodlivého softvéru. Ako som ukázal minule, príkazy PowerShell môžete jednoducho spúšťať pomocou skriptletu JScript.
Ukázalo sa, že jeden je veľmi šikovný našiel spôsob, ako spustiť skriptlet COM в Excelový dokument. Zistil, že keď sa pokúsil vložiť do bunky odkaz na dokument alebo obrázok, vložil sa do nej určitý balík. A tento balík potichu akceptuje vzdialený skriptlet ako vstup (pozri nižšie).
Bum! Ďalšia tajná, tichá metóda na spustenie shellu pomocou skriptov COM
Po kontrole kódu na nízkej úrovni výskumník zistil, čo to v skutočnosti je chyba v softvérovom balíku. Nebolo určené na spúšťanie skriptletov COM, ale iba na prepojenie so súbormi. Nie som si istý, či už existuje oprava na túto chybu zabezpečenia. V mojej vlastnej štúdii s použitím Amazon WorkSpaces s predinštalovaným balíkom Office 2010 sa mi podarilo replikovať výsledky. Keď som to však o niečo neskôr skúsil znova, nefungovalo to.
Naozaj dúfam, že som vám povedal veľa zaujímavého a zároveň ukázal, že hackeri môžu preniknúť do vašej spoločnosti takým či onakým spôsobom. Aj keď si nainštalujete všetky najnovšie záplaty od spoločnosti Microsoft, hackeri majú stále veľa nástrojov na získanie oporu vo vašom systéme, od makier VBA, s ktorými som začal túto sériu, až po škodlivé užitočné zaťaženia vo Worde alebo Exceli.
V záverečnom (sľubujem) článku tejto ságy sa porozprávam o tom, ako zabezpečiť inteligentnú ochranu.
Zdroj: hab.com