Maqaalkani waa qayb ka mid ah taxanaha Malware-ka Fileless. Dhammaan qaybaha kale ee taxanaha:
- Adventures of the Elusive Malware, Qaybta IV: DDE iyo Dukumeenti Word Fields (waan joognaa)
Maqaalkan, waxaan doonayey inaan dhex galo xaalad aad u adag oo ka sii adag marxalado badan oo aan faylka lahayn oo leh nidaamka. Laakin markaas waxaan la kulmay weerar fudud oo cajiib ah - looma baahna Word ama Excel macros! Waxayna tani si waxtar leh u caddaynaysaa mala-awaalkaygii asalka ahaa ee gundhigga u ahaa maqaalladan taxanaha ah: jebinta wareegga sare ee urur kasta maaha hawl adag.
Weerarka ugu horreeya ee aan ku tilmaami doono wuxuu ka faa'iideystaa nuglaanta Microsoft Word ee ku saleysan duugoobay (DDE). Hore ayay ahayd . Midda labaad waxay ka faa'iidaysanaysaa nuglaanta guud ee Microsoft COM iyo awoodaha wareejinta shay.
Ku laabo mustaqbalka DDE
Ma jiraa qof kale oo xusuusta DDE? Malaha ma badna. Waxay ahayd mid ka mid ah kuwii hore hab-maamuusyada isgaarsiineed ee ka dhexeeya habraaca u oggolaanaya codsiyada iyo aaladaha inay gudbiyaan xogta.
Aniga lafteyda ayaan aqoon u leeyahay sababtoo ah waxaan hubin jiray oo aan tijaabin jiray qalabka isgaarsiinta. Waqtigaas, DDE waxay u ogolaatay, tusaale ahaan, hawl wadeenada xarunta wicitaanka inay ku wareejiyaan aqoonsiga soo wacaha codsiga CRM, kaas oo ugu dambeyntii furay kaarka macaamiisha. Si taas loo sameeyo, waa inaad ku xidhaa fiilo RS-232 ah inta u dhaxaysa teleefankaaga iyo kombiyuutarkaaga. Waxay ahaayeen maalmo!
Sida ay soo baxday, Microsoft Word waa weli DDE.
Maxaa ka dhigaya weerarkan mid wax ku ool ah la'aantiis waa inaad geli karto borotokoolka DDE si toos ah laga bilaabo goobaha otomaatiga ah ee dukumeenti Word ah (koofiyada off ilaa SensePost for ku saabsan).
Koodhadhka goobta waa muuqaal kale oo MS Word ah oo qadiimi ah kaas oo kuu ogolaanaya inaad ku darto qoraal firfircoon iyo xoogaa barnaamij ah dukumeentigaaga. Tusaalaha ugu cad cad waa goobta lambarka bogga, kaas oo la gelin karo cagta iyadoo la adeegsanayo qiimaha {BOGGA *MERGEFORMAT}. Tani waxay ogolaanaysaa in lambarada bogga si toos ah loo soo saaro.
Tilmaam: Waxaad ka heli kartaa shayga menu-ka goobta ee hoostiisa Gelida.
Waxaan xusuustaa in markii ugu horreysay ee aan muuqaalkan ka helay Word, aan aad ula yaabay. Iyo ilaa balastarku curyaamiyay, Word ayaa wali taageeray doorashada goobaha DDE. Fikradda ayaa ahayd in DDE ay u ogolaato Word in uu si toos ah ula xiriiro arjiga, si markaas ay u gudbiso wax soo saarka barnaamijka dukumeenti. Waxay ahayd tignoolajiyada aad u da'da yar wakhtigaas - taageerada isweydaarsiga xogta ee codsiyada dibadda. Markii dambe waxaa loo soo saaray farsamada COM, taas oo aan sidoo kale hoos ku eegi doono.
Ugu dambeyntii, tuugadu waxay ogaadeen in codsigan DDE uu noqon karo qolof amar ah, kaas oo dabcan bilaabay PowerShell, halkaasna tuugtu waxay samayn karaan waxay doonaan.
Shaashadda hoose waxay muujinaysaa sida aan u isticmaalo farsamadan qarsoodiga ah: Qoraal yar oo PowerShell ah (oo hadda loo yaqaan PS) oo ka socda goobta DDE ayaa ku shubaya qoraal kale oo PS ah, kaas oo bilaabaya wejiga labaad ee weerarka.
Waad ku mahadsan tahay Windows digniinta soo booda ee ah in goobta ku dhex jirta DDEAUTO ay si qarsoodi ah isku dayeyso inay bilowdo qolofka
Habka la doorbido ee looga faa'iidaysto nuglaanta waa in la isticmaalo nooc ka mid ah goobta DDEAUTO, kaas oo si toos ah u socodsiiya qoraalka marka la furayo Dukumeenti kelmad.
Aan ka fikirno waxa aan ka qaban karno arrintan.
Khabiir cusub ahaan, tusaale ahaan, waxaad diri kartaa iimaylka phishingka, adigoo iska dhigaya inaad ka timid Adeegga Cashuuraha Federaalka, oo aad ku dhejiso goobta DDEAUTO qoraalka PS ee marxaladda koowaad (dhaqle, dhab ahaan). Oo xataa uma baahnid inaad samayso koodh dhab ah oo macros ah, iwm., sidii aan ku sameeyay
Dhibbanaha ayaa furaya dukumeentigaaga, qoraalka ku lifaaqan waa la damiyay, jabsadayna wuxuu ku dhamaanayaa gudaha kombiyuutarka. Xaaladeyda, qoraalka fog ee PS wuxuu daabacaa fariinta, laakiin waxay si fudud u bilaabi kartaa macmiilka PS Empire, kaas oo bixin doona gelitaanka qolofka fog.
Iyo ka hor inta aan dhibbanuhu helin wakhti uu wax ku sheego, hackers-ku waxay noqon doonaan dhalinyarada ugu qanisan tuulada.
Qolfoofka ayaa la tuuray iyada oo aan wax kood ah lahayn. Xataa ilmuhu wuu samayn karaa!
DDE iyo beeraha
Microsoft markii dambe waxay ku joojisay DDE gudaha Word, laakiin maaha ka hor intaanay shirkadu sheegin in sifada si khaldan loo isticmaalay. Diidmada ay u qabaan inay wax beddelaan waa wax la fahmi karo. Waayo-aragnimadayda, aniga qudhaydu waxaan arkay tusaale meelaha la cusboonaysiinayo markii la furayay dukumeenti la furay, laakiin makrosyada Word waxaa naafo ka ah IT (laakiin muujinaya ogeysiis). Sida habka, waxaad ka heli kartaa goobaha u dhigma ee qaybta "Word settings".
Si kastaba ha ahaatee, xitaa haddii dib-u-cusbooneysiinta goobta la awoodo, Microsoft Word waxay sidoo kale ogeysiisaa isticmaalaha marka goobtu codsato helitaanka xogta la tirtiray, sida kiiska DDE ee sare. Microsoft runtii waa ay kuu digaysaa.
Laakiin waxay u badan tahay, isticmaalayaashu wali way iska indhatiraan digniintan oo ay dhaqaajiyaan cusboonaysiinta beeraha ee Word. Tani waa mid ka mid ah fursadaha naadirka ah ee loogu mahadcelinayo Microsoft curyaaminta muuqaalka khatarta ah ee DDE.
Sidee bay u adag tahay in la helo nidaamka Windows-ka aan la daboolin maanta?
Imtixaankan, waxaan u adeegsaday AWS Workspaces si aan u galo desktop-ka casriga ah. Sidan ayaan ku helay mashiinka farsamada gacanta ee MS Office oo ii oggolaaday inaan geliyo goobta DDEAUTO. Shaki iigama jiro in si la mid ah aad ku heli karto shirkado kale oo aan weli rakibin xirmooyinka amniga lagama maarmaanka ah.
Sirta walxaha
Xitaa haddii aad rakibtay balastarkan, waxaa jira godad kale oo amniga ah oo ku yaal MS Office kuwaas oo u oggolaanaya tuugada inay sameeyaan wax aad u la mid ah wixii aan ku samaynay Word. Dhacdada xigta waan baran doonaa u isticmaal Excel sidii sed loogu talagalay weerarka phishingka adoon qorin wax kood ah.
Si aan u fahanno dhacdadan, aan xasuusano Qaabka Shayga Qaybta Microsoft, ama si kooban COM (Qaabka Walxaha ka kooban).
COM waxa ay jirtay ilaa 1990-meeyadii, waxaana lagu qeexaa sida "luqad-dhexdhexaad, nooc ka kooban shayga ku jihaysan" oo ku salaysan wicitaanada nidaamka fog ee RPC. Si aad u hesho faham guud ee ereybixinta COM, akhri on StackOverflow.
Asal ahaan, waxaad u malayn kartaa codsiga COM inuu yahay Excel ama Word la fulin karo, ama fayl kale oo binary ah oo shaqeeya.
Waxaa soo baxday in codsiga COM uu sidoo kale socon karo dhacdo - JavaScript ama VBScript. Farsamo ahaan waxaa loo yaqaan qoraal. Waxaa laga yaabaa inaad ku aragtay fidinta .sct ee faylasha gudaha Windows - tani waa kordhinta rasmiga ah ee qoraallada. Asal ahaan, waa koodka qoraalka ku duudduubay duubka XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackers iyo pentesters waxay ogaadeen inay jiraan adeegyo iyo codsiyo kala duwan oo Windows ah oo aqbala walxaha COM iyo, sidaas awgeed, qoraallo sidoo kale.
Waxaan u gudbin karaa scriptlet utility Windows oo ku qoran VBS oo loo yaqaan pubprn. Waxay ku taal moolka C:Windowssystem32Printing_Admin_Scripts. Jid ahaan, waxaa jira adeegyo kale oo Windows ah oo aqbala walxaha sida cabbirka. Aynu marka hore eegno tusaalahan.
Waa wax dabiici ah in qolofka laga soo saari karo xitaa far daabacan. Tag Microsoft!
Tijaabo ahaan, waxaan sameeyay far fudud oo fog oo soo saaraysa qolof oo daabacday fariin qosol leh, "Haddaba waa lagu qoray!" Asal ahaan, pubprn waxay soo dedejisaa shay qoraal ah, taasoo u oggolaanaysa koodka VBScript inuu socodsiiyo duubka. Habkani wuxuu siinayaa faa'iido cad oo loogu talagalay hackers kuwaas oo raba inay ku dhuuntaan oo ku qariyaan nidaamkaaga.
Maqaalka soo socda, waxaan ku sharixi doonaa sida qoraallada COM looga faa'iidaysan karo hackers-ka iyagoo isticmaalaya xaashiyaha Excel.
Shaqada gurigaaga, eeg laga soo bilaabo Derbycon 2016, taas oo sharxaysa sida saxda ah ee ay tuugadu u isticmaaleen qoraallada. Oo weliba akhri ku saabsan qoraallada iyo nooc ka mid ah moniker.
Source: www.habr.com