ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Maqaalkani waa qayb ka mid ah taxanaha Malware-ka Fileless. Dhammaan qaybaha kale ee taxanaha:

Maqaalladan taxanaha ah, waxaynu ku baadhaynaa hababka weerarka ee u baahan dadaalka ugu yar ee dhinaca jabsiga. Waagii hore maqaal Waxaan daboolnay inay suurtogal tahay in koodka laftiisa la geliyo culayska shaqada ee DDE autofield ee Microsoft Word. Marka la furo dukumeentigan oo kale ee ku lifaaqan iimaylka phishing-ka, isticmaale aan digtoonaan ayaa u oggolaan doona weerarka inuu cag ku yeesho kombayutarkiisa. Si kastaba ha noqotee, dhamaadka 2017, Microsoft xiran daldalooladan weerarrada DDE.
Hagaajintu waxay ku daraysaa gelitaanka diiwaanka ee curyaaminaya Hawlaha DDE in Word. Haddii aad weli u baahan tahay shaqadan, markaas waxaad soo celin kartaa doorashadan adiga oo awood u siinaya awoodihii hore ee DDE.

Si kastaba ha noqotee, balastarkii asalka ahaa wuxuu daboolay kaliya Microsoft Word. Nuglaanta DDE miyay ka jiraan alaabada kale ee Microsoft Office kuwaas oo sidoo kale looga faa'iidaysan karo weerarrada aan koodka lahayn? Haa, hubaal. Tusaale ahaan, waxaad sidoo kale ka heli kartaa Excel.

Habeenka Nool DDE

Waxaan xusuustaa in markii ugu dambeysay aan joojiyay sharraxaadda qoraallada COM. Waxaan ballan qaadayaa in aan dib ugu heli doono maqaalkan.

Dhanka kale, aan eegno dhinaca kale ee xun ee DDE ee nooca Excel. Sida Word, qaar sifooyinka qarsoon ee DDE ee Excel kuu ogolaanaya inaad fuliso code adoon dadaal badan lahayn. Isticmaale Word ahaan oo koray, waan aqaanay beeraha, laakiin haba yaraatee kama hadlin hawlaha DDE.

Waxaan la yaabay markaan bartay in Excel aan ka wici karo qolof unug sida hoos ku cad:

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Ma ogtahay in tani ay suurtogal tahay? Shakhsi ahaan, ma sameeyo

Awooddan lagu soo saari karo qolofka Windows waa ixtiraamka DDE. Waxaad ka fikiri kartaa waxyaabo kale oo badan
Codsiyada aad ku xidhi karto adiga oo isticmaalaya hawlaha DDE ee ku dhex dhisan ee Excel.
Ma waxaad u malaynaysaa isla wax aan ku fikirayo?

U oggolow taliskayaga gudaha-unuggu inuu bilaabo kalfadhi PowerShell ka dibna soo dejiyo oo fuliyo isku xirka - kan soo dhaweynta, oo aan hore u isticmaalnay. Hoos eeg:

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Kaliya ku dheji wax yar PowerShell si aad ugu shubto oo aad u socodsiiso koodka fog Excel

Laakiin waxaa jira qabsasho: waa inaad si cad u gelisaa xogtan unugga si ay qaabkani uga shaqeyso Excel. Sidee buu jabsadahu u fulin karaa amarkan DDE meel fog? Xaqiiqdu waxay tahay in marka miiska Excel uu furmo, Excel wuxuu isku dayi doonaa inuu cusboonaysiiyo dhammaan xiriirada DDE. Dejinta Xarunta Trust ayaa muddo dheer awood u lahayd inay tan joojiso ama ka digto marka la cusboonaysiinayo isku xidhka ilaha xogta dibadda.

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Xitaa iyada oo aan lahayn balastarkii ugu dambeeyay, waxaad joojin kartaa cusboonaysiinta isku xirka tooska ah ee DDE

Microsoft asal ahaan lafteeda waaniyay Shirkadaha 2017 waa in ay joojiyaan cusboonaysiinta isku xirka tooska ah si ay uga hortagaan dayacanka DDE ee Word iyo Excel. Bishii Janaayo 2018, Microsoft waxay sii daysay balastar Excel 2007, 2010 iyo 2013 kuwaas oo baabi'iya DDE si caadi ah. Tani maqaal Computerworld waxa ay qeexaysaa dhamaan tafaasiisha balastarka.

Hagaag, ka warran diiwaannada dhacdada?

Microsoft si kastaba ha ahaatee waxay DDE uga tagtay MS Word iyo Excel, iyadoo aakhirkii aqoonsatay in DDE ay ka badan tahay sida cayayaanka marka loo eego shaqada. Haddii sababo jira aadan weli rakibin balastaradan, waxaad weli yareyn kartaa halista weerarka DDE adiga oo joojinaya cusbooneysiinta isku xirka tooska ah iyo karti u siinta dejinta taasoo ku dhiirigelisa isticmaalayaasha inay cusbooneysiiyaan xiriiriyeyaasha marka ay furayaan dukumentiyada iyo xaashiyaha.

Hadda su'aasha milyan ee doollar: Haddii aad tahay dhibane weerarkan, fadhiyada PowerShell ee laga bilaabay goobaha Word ama unugyada Excel ma ka muuqan doonaan log?

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Su'aal: Kulamada PowerShell ma lagu bilaabay DDE? Jawaab: haa

Marka aad si toos ah uga socodsiiso fadhiyada PowerShell unugga Excel halkii aad ka ahaan lahayd makro, Windows ayaa gali doonta dhacdooyinkan (eeg kor). Isla mar ahaantaana, ma sheegan karo inay u fududaan doonto kooxda amniga inay markaas isku xiraan dhammaan dhibcaha u dhexeeya fadhiga PowerShell, dukumeentiga Excel iyo fariinta iimaylka oo ay fahmaan halka uu weerarku ka bilaabmay. Tan waxaan dib ugu soo laaban doonaa maqaalka u dambeeya ee taxanaheyga aan dhammaaneyn ee ku saabsan malware-ka aan qarsooneyn.

Sidee buu yahay COM-kayagu?

Kii hore maqaal Waxaan taabtay mowduuca qoraallada COM. Waxay ku habboon yihiin naftooda. farsamada, kaas oo kuu ogolaanaya inaad gudbiso koodka, dheh JScript, si fudud sida shayga COM. Laakiin ka dib qoraallada waxaa helay tuugo, taasina waxay u ogolaatay inay cagta saaraan kombiyuutarka dhibbanaha iyada oo aan la isticmaalin qalab aan loo baahnayn. Tani Π²ΠΈΠ΄Π΅ΠΎ laga soo bilaabo Derbycon waxay soo bandhigaysaa qalabyada Windows-ka lagu dhex dhisay sida regsrv32 iyo rundll32 kuwaas oo u qaata qoraallada fog-fog sida dood ahaan, iyo haakarisku asal ahaan waxay fuliyaan weerarkooda iyagoon gacan ka helin malware. Sidaan muujiyay markii ugu dambeysay, waxaad si fudud u socodsiin kartaa amarada PowerShell adigoo isticmaalaya farta JScript.

Waxaa soo baxday in mid ka mid ah uu aad u caqli badan yahay cilmi baare helay hab lagu socodsiiyo qoraalka COM Π² dukumeenti Excel Waxa uu ogaaday in markii uu isku dayay in uu xidhidhiyaha dukumentiga ama sawirka geliyo unug, in xidhmo gaar ah la geliyey. Xirmadani waxay si aamusnaan ah u aqbaleysaa qoraal-gacmeed fog (hoos eeg).

Adventures of the Elusive Malware, Qaybta V: Xataa Qoraallo badan oo DDE iyo COM ah

Boom! Hab kale oo qarsoodi ah, oo aamusan oo lagu soo rido qolof iyadoo la adeegsanayo qoraallada COM

Ka dib kormeer kood-hoosaad, cilmi-baaruhu wuxuu ogaaday waxa dhabta ah bug ee software xirmo. Looguma talagalin in lagu socodsiiyo qoraalada COM, laakiin kaliya in lagu xidho faylasha. Ma hubo haddii ay horeba u jirtay balastar u nuglaantan. Daraasaddeyda aniga oo isticmaalaya Amazon WorkSpaces oo leh Office 2010 horay loo sii rakibay, waxaan awooday inaan ku celceliyo natiijooyinka. Si kastaba ha ahaatee, markii aan mar kale isku dayay in yar ka dib, way shaqayn wayday.

Runtii waxaan rajeynayaa in aan kuu sheegay waxyaabo badan oo xiiso leh isla markaana isla markaa muujiyay in hackers ay u geli karaan shirkaddaada hal ama qaab kale oo la mid ah. Xitaa haddii aad rakibto dhammaan balastarradii ugu dambeeyay ee Microsoft, haakarisku waxay weli haystaan ​​qalab badan oo ay ku heli karaan nidaamkaaga, laga bilaabo VBA macros-ka waxaan ku bilaabay taxanahan oo leh lacag-bixinno xaasidnimo ah oo ku jira Word ama Excel.

Maqaalka ugu dambeeya (waxaan ballan qaadayaa) maqaalkan, waxaan ka hadli doonaa sida loo bixiyo ilaalin caqli-gal ah.

Source: www.habr.com

Add a comment