Maqaalkani waa qayb ka mid ah taxanaha Malware-ka Fileless. Dhammaan qaybaha kale ee taxanaha:
- Adventures of the Elusive Malware, Qaybta IV: DDE iyo Goobaha Dukumentiga Erayga (Waan Joognaa)
Maqaalkan, waxa aan qorshaynayaa in aan dhex galo xaalad aad u adag oo ka sii adag marxalado badan oo aan faylka lahayn. Laakiin markaas waxaan ku turunturooday si cajiib ah oo fudud, weerar aan code lahayn — looma baahna Word ama macros Excel! Waxayna tani si wax ku ool ah u caddaynaysaa mala-awaalkayga bilowga ah ee ka hooseeya taxanahan: gelitaanka wareegga sare ee urur kasta maaha hawl adag.
Weerarka ugu horreeya ee aan ku tilmaami doono wuxuu ka faa'iideystaa nuglaanta Microsoft Word ee ku tiirsan duugoobay (DDE)Horey ayay u joogtay. Midda labaad waxay ka faa'iidaysanaysaa nuglaanta guud ee Microsoft COM iyo awoodeeda gudbinta shaygeeda.
Ku laabo mustaqbalka DDE
Ma jiraa qof weli xusuusta DDE? Malaha ma badna. Waxay ahayd mid ka mid ah kuwii hore dhex-dhexaadinta borotokoolka isgaarsiinta ee u oggolaaday codsiyada iyo aaladaha inay isweydaarsadaan xogta.
Laftaydu xoogaa aad ayaan u aqaannaa, sidii aan u hubin jiray oo aan u tijaabin jiray qalabka isgaadhsiinta. Waagaas, DDE waxay u ogolaatay hawlwadeenada xarunta wicitaanka, tusaale ahaan, inay u gudbiyaan aqoonsiga soo wacaha arjiga CRM, kaas oo ugu dambeyntii furay astaanta macmiilka. Si taas loo sameeyo, waa inaad ku xidhaa fiilada RS-232 inta u dhaxaysa telefoonka iyo kombiyuutarka. Waxay ahaayeen maalmo!
Sida ay soo baxday, Microsoft Word waa weli DDE.
Maxaa ka dhigaya weerarkan mid wax ku ool ah la'aantiis waa inaad geli karto borotokoolka DDE si toos ah Laga soo bilaabo goobaha tooska ah ee dukumeentiga Word (koofiyada off to SensePost for arrintan ku saabsan).
Koodhadhka goobta - Tani waa muuqaal kale oo MS Word ah oo qadiimi ah kaas oo kuu oggolaanaya inaad ku darto qoraal firfircoon iyo xoogaa barnaamij ah dukumeentigaaga. Tusaalaha ugu cad cad waa goobta "bogga nambarka", kaas oo la gelin karo cagaha iyadoo la adeegsanayo qiimaha {PAGE *MERGEFORMAT}. Tani waxay u oggolaanaysaa abuurista tooska ah ee lambarrada bogga.
Tilmaam: Waxaad ka heli kartaa shayga menu-ka ee goobta hoostiisa qaybta Gelida.
Waxaan xasuustaa in aan la yaabay markii ugu horreysay ee aan muuqaalkan ka helay Word. Ilaa balastar uu curyaamiyay, Word wuxuu sii waday inuu taageero doorashada goobaha DDE. Fikradda ayaa ahayd in DDE ay u ogolaato Word in uu si toos ah ula xiriiro arjiga, taas oo u oggolaanaysa in ay markaas u gudbiso xogta soo saarista barnaamijka dukumeentiga. Tani waxay ahayd tignoolajiyada aad u da'da yar wakhtigaas-taageerada xog-isweydaarsiga codsiyada dibadda. Markii dambe waxaa loo soo saaray farsamada COM, taas oo aan sidoo kale hoos kaga hadli doono.
Ugu dambeyntii, tuugadu waxay xaqiiqsadeen in codsigan DDE uu noqon karo qolof amar ah, kaas oo, dabcan, ku shaqeeya PowerShell, halkaasna tuugtu waxay samayn karaan wax kasta oo ay rabaan.
Sawirka hoose wuxuu muujinayaa sida aan u isticmaalo farsamadan qarsoodiga ah: Qoraal yar oo PowerShell ah (oo hadda loo yaqaan PS) oo ka socda goobta DDE ayaa ku raran qoraal kale oo PS ah, kaas oo bilaabaya wejiga labaad ee weerarka.
Waad ku mahadsan tahay Windows soo saarista digniinta ah in goobta lagu dhex dhisay DDEAUTO ay si qarsoodi ah isku dayeyso inay soo saarto qolofka.
Habka la door biday ee ka faa'iidaysiga nuglaanta waa in la isticmaalo goobta DDEAUTO, kaas oo si toos ah u socodsiiya qoraalka. marka la furayo Dukumeenti kelmad.
Aan ka fikirno waxa laga qaban karo arrintan.
Khabiir cusub ahaan, tusaale ahaan, waxaad soo diri kartaa iimaylka phishingka, adigoo iska dhigaya inaad ka timid Adeegga Cashuuraha Federaalka, oo aad ku dhex dhejiso goobta DDEAUTO qoraal PS ah marxaladda koowaad (asal ahaan dhibco). Oo xataa uma baahnid inaad samayso wax cod-bixineed dhab ah ama wax la mid ah sidaan ku sameeyay
Dhibbanaha ayaa furaya dukumeentigaaga, qoraalka ku lifaaqan waa la damiyay, jabsadayduna waa gudaha kombayutarka. Xaaladeyda, qoraalka fog ee PS wuxuu daabacaa fariin kaliya, laakiin waxay si fudud u bilaabi kartaa macmiilka PS Empire, kaas oo bixin doona gelitaanka qolofka fog.
Ka hor inta uusan dhibbanuhu xitaa dhihin kelmad, tuugadu waxay noqon doonaan dhalinyarada ugu qanisan tuulada.
Madaafiicda ayaa la tuuray iyada oo aan wax kood ah lahayn. Xataa ilmo wuu samayn karaa!
DDE iyo beeraha
Microsoft aakhirkii waxay curyaamisay DDE gudaha Word, laakiin maaha ka hor inta aysan sheegan in sifada si xun loo isticmaalay. Diidmada ay u qabaan inay wax beddelaan waa wax la fahmi karo. Shakhsi ahaan waxaan u kuurgalay xaalad meesha cusboonaysiinta goobta marka la furayo dukumeenti ay karti u yeelatay, laakiin makrosyada Word waxaa naafeeyay adeegga IT (inkasta oo ogeysiis la soo bandhigay). Dhacdo ahaan, waxaad ka heli kartaa goobaha ku habboon goobaha Word.
Si kastaba ha ahaatee, xitaa haddii dib-u-cusbooneysiinta goobta la awoodo, Microsoft Word waxay sidoo kale ogeysiisaa isticmaalaha marka goobtu codsato helitaanka xogta fog, sida kiiska DDE ee sare. Microsoft way kuu digaysaa
Laakiin isticmaalayaashu waxay u badan tahay inay iska indhatiraan digniintan oo ay awood u yeeshaan cusboonaysiinta goobta Word. Tani waa mid ka mid ah fursadaha naadirka ah ee loogu mahadcelinayo Microsoft curyaaminta muuqaalka khatarta ah ee DDE.
Sidee bay u adag tahay in maalmahan la helo nidaamka Windows-ka oo aan la daboolin?
Imtixaankan, waxaan u adeegsaday jawiga AWS Workspaces si aan u galo desktop-ka casriga ah. Tani waxay i siisay mishiinka farsamada gacanta ee MS Office, kaas oo ii oggolaaday inaan geliyo goobta DDEAUTO. Shaki igagama jiro in dadaalkan oo kale la samayn karo si loo helo shirkado kale oo aan wali rakibin qalabkii loo baahnaa.
Sirta Shayada
Xitaa haddii aad rakibtay balastarkan, waxaa jira godad kale oo amniga ah oo ku yaal MS Office kuwaas oo u oggolaanaya tuugada inay sameeyaan wax aad u la mid ah wixii aan ku samaynay Word. Dhacdada xigta, waxaan ku baran doonaa sida U isticmaal Excel sidii sed si aad u weerarto phishing adigoon kood qorin.
Si aad u fahanto dhacdadan, aynu dib u xasuusano Qaabka Shayga Qaybaha ee Microsoft, ama Qaabka Shayga Qaybta oo kooban. COM (Qaabka Walxaha ka kooban).
COM waxa ay jirtay ilaa 1990-meeyadii waxaana lagu qeexaa sida "luqad-dhexdhexaad ah, nooc ka kooban shayga ku jihaysan" oo ku salaysan wicitaanada habraaca fog (RPCs). Si aad u hesho faham guud ee ereybixinta COM, akhri on StackOverflow.
Asal ahaan, waxaad u malayn kartaa codsiga COM inuu yahay Excel ama Word la fulin karo, ama fayl kale oo binary ah oo la ordi karo.
Waxaa soo baxday in codsiga COM uu sidoo kale socon karo dhacdo - JavaScript ama VBScript. Farsamo ahaan waxaa loo yaqaan qoraalWaxaa laga yaabaa inaad ku aragtay kordhinta .sct ee faylasha Windows-tani waa kordhinta rasmiga ah ee qoraallada. Waxay asal ahaan yihiin koodka qoraalka ku duudduubay XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackers iyo pentesters waxay ogaadeen inay jiraan adeegyo iyo codsiyo kala duwan oo ku jira Windows kuwaas oo aqbala walxaha COM iyo, si waafaqsan, qoraallada sidoo kale.
Waxaan u gudbin karaa scriptlet utility Windows oo ku qoran VBS oo loo yaqaan pubprn. Waxay ku taalaa gunta hoose ee C:\Windows\system32Printing_Admin_Scripts. Dhacdo ahaan, waxaa jira utility Windows oo kale oo aqbala walxaha sida cabbirka. Aan ku bilowno tusaalahan.
Waa wax dabiici ah in qolofka xitaa laga soo saari karo qoraal daabacan. Horey u soco, Microsoft!
Ujeeddooyin tijaabo ah, waxaan sameeyay qoraal fudud oo fog oo soo saaraya qolof oo daabacaya fariin qosol leh: "Haddaba waa la qoray!" Asal ahaan, pubprn waxay abuurtaa tusaale shay qoraal ah, taasoo u oggolaanaysa koodka VBScript inuu bilaabo qolofka. Habkani wuxuu si cad u siinayaa faa'iidooyin cad oo haakarisyada raadinaya inay ku dhuuntaan oo ku qariyaan nidaamkaaga.
Maqaalka soo socda, waxaan ku sharixi doonaa sida qoraallada COM looga faa'iidaysan karo hackers-ka iyagoo isticmaalaya xaashiyaha Excel.
Shaqada gurigaaga, daawo tan laga soo bilaabo Derbycon 2016, kaas oo si sax ah u sharaxaya sida hackers-ku u isticmaaleen qoraallada. Sidoo kale akhri ku saabsan qoraallada iyo nooc ka mid ah moniker.
Source: www.habr.com
