Maqaalkani waa qayb ka mid ah taxanaha Malware-ka Fileless. Dhammaan qaybaha kale ee taxanaha:
- (waan joognaa)
Maqaalladan taxanaha ah, waxaynu ku baadhaynaa hababka weerarka ee u baahan dadaalka ugu yar ee dhinaca jabsiga. Kii hore Waxaan horay u aragnay sida koodka laftiisa loogu dhejin karo culeyska goobta DDE ee tooska ah ee Microsoft Word. Marka la furo dukumeentiga noocaas ah ee ku lifaaqan iimaylka phishing-ka, isticmaale aan digtoonaan ayaa u oggolaan kara qofka weerarka geystay inuu cag ku yeesho kombayutarkiisa. Si kastaba ha noqotee, dhamaadka 2017, Microsoft daldalooladan weerarrada DDE.
Hagaajintu waxay ku daraysaa gelitaanka diiwaanka ee curyaaminaya Hawlaha DDE in Word. Haddii aad weli u baahan tahay shaqadan, waxaad soo celin kartaa doorashadan adiga oo awood u siinaya awoodihii hore ee DDE.
Si kastaba ha noqotee, balastarkii asalka ahaa wuxuu daboolay kaliya Microsoft Word. Nuglaanta DDE ma ku jiraan alaabada kale ee Microsoft Office kuwaas oo sidoo kale looga faa'iidaysan karo weerarada iyada oo aan loo baahnayn kood kale? Haa, dabcan. Tusaale ahaan, waxaad sidoo kale ka heli kartaa Excel.
Habeenka Nool DDE
Waxaan xasuustaa markii ugu dambaysay ee aan joojiyay sharraxaadda qoraallada COM. Waxaan ballan qaadayaa inaan mar kale kula kulmi doono maqaalkan.
Dhanka kale, aan eegno dhinaca kale ee xun ee DDE ee nooca Excel. Sida Word, qaar Astaamaha Qarsoon ee DDE ee Excel kuu ogolaanaya inaad fuliso code adoon dadaal badan lahayn. Isticmaale Word ahaan, waxaan aqoon u lahaa beeraha, laakiin gabi ahaanba kama warqabin hawlaha DDE.
Waxaan la yaabay markaan bartay in Excel aan ka codsan karo qolof amar unug, sida hoos ku cad:
Ma ogtahay inay taasi suurtogal tahay? Shakhsi ahaan, ma aanan samayn.
Tani waa ikhtiyaari lagu maamulo qolofka. Windows si naxariis leh ayay noo siisay DDE. Waxaan ka fikiri karnaa pr kale oo badan
Codsiyada aad ku xidhi karto adiga oo isticmaalaya hawlaha DDE ee ku dhex dhisan ee Excel.
Ma waxaad u malaynaysaa sidii aniga oo kale?
Aan amarkeena ku haysano unuga inuu bilaabo kalfadhi PowerShell ka dibna soo dejiyo oo fuliyo isku xirka - kan , oo aan horay u isticmaalnay. Hoos ka daawo:
Kaliya geli wax yar oo PowerShell ah si aad ugu shubto oo aad u hirgeliso koodka fog ee Excel
Laakiin waxaa jira qabsasho: waa inaad si cad u gelisaa xogtan unugga si qaaciidadan loogu fuliyo gudaha Excel. Sidee buu jabsadahu u fulin karaa amarkan DDE meel fog? Dhibaatadu waxay tahay in marka xaashida xaashida ee Excel furan yahay, Excel wuxuu isku dayaa inuu cusboonaysiiyo dhammaan xiriirada DDE. Dejinta Xarunta Trust ayaa muddo dheer soo bandhigtay ikhtiyaarka lagu joojin karo tan ama ay kaaga digayso marka xiriirinta ilaha xogta dibadda la cusboonaysiiyo.
Xataa iyada oo aan lahayn balastarkii ugu dambeeyay, waxaad joojin kartaa cusboonaysiinta tooska ah ee isku xirka DDE
Microsoft markii hore lafteeda 2017, shirkadaha waxaa lagula taliyay inay joojiyaan cusboonaysiinta isku xirka tooska ah si looga hortago dayacanka DDE ee Word iyo Excel. Bishii Janaayo 2018, Microsoft waxay sii daysay balastar Excel 2007, 2010, iyo 2013 kuwaas oo baabi'iya DDE si caadi ah. Tani Computerworld waxay si faahfaahsan u faahfaahisay balastarka
Hagaag, ka warran diiwaannada dhacdada?
Microsoft ayaa ugu dambeyntii DDE u diiday MS Word iyo Excel, ugu dambeyntii waxay qiratay in DDE ay ka badan tahay cayayaanka marka loo eego sifada. Haddii sababo jira aadan weli rakibin hagaajintan, waxaad weli yareyn kartaa halista weerarka DDE adiga oo joojiya cusboonaysiinta isku xirka tooska ah iyo awood u siinaya isticmaaleyaasha inay cusboonaysiiyaan xiriiriyeyaasha marka ay furayaan dukumentiyada iyo xaashiyaha.
Hadda waa tan su'aasha milyan-dollar: Haddii aad tahay dhibane weerarkan, fadhiyada PowerShell ee laga bilaabay goobaha Word ama unugyada Excel ma ka muuqan doonaan taariikhdaada?
Su'aal: Kulamada PowerShell ma lagu bilaabay DDE? Jawaab: Haa.
Markaad si toos ah uga bilowdo kalfadhiyada PowerShell unug Excel ah halkii aad ka ahaan lahayd macro, Windows Waxaan diiwaan gelin doonaa dhacdooyinkan (fiiri kor). Si kastaba ha ahaatee, ma sheeganayo inay u fududaan doonto hay'adaha amniga inay isku xiraan dhibcaha u dhexeeya kalfadhiga PowerShell, dukumeenti Excel ah, iyo farriin iimayl ah oo ay ogaadaan meesha weerarku ka bilaabmay. Waxaan ku soo laaban doonaa maqaalkii ugu dambeeyay ee taxanahayga aan dhammaadka lahayn ee ku saabsan malware-ka aan la arki karin.
Waa sidee COM-kayagu?
Kii hore Waxaan taabtay mowduuca qoraallada COM. Waxay yihiin qalab ku habboon naftooda. , kaas oo kuu ogolaanaya inaad gudbiso koodka, dheh, JScript, si fudud sida shayga COM. Laakiin ka dib tuugadu waxay heleen qoraallo, taasina waxay u ogolaatay inay cagta saaraan kombiyuutarka dhibbanaha iyada oo aan loo baahnayn qalab dheeraad ah. Shirka Derbycon wuxuu muujinayaa qalab ku dhex jira Windows, sida regsrv32 iyo rundll32, kuwaas oo aqbala qoraallada fogfog dood ahaan, taasoo u oggolaanaysa hackers-ka inay si dhab ah u fuliyaan weerarradooda iyagoon helin caawinta malware-ka. Sidaan markii ugu dambeysay tusay, waxaad si fudud u maamuli kartaa amarrada PowerShell adoo isticmaalaya scriptlet-ka JScript.
Waxaa soo baxday inuu mid aad u caqli badan yahay Waxaan helay hab aan ku socodsiiyo qoraalka COM в dukumeenti Excel Waxa uu ogaaday in marka la isku dayo in la geliyo xidhiidhka dukumeenti ama sawirka unug, xidhmo gaar ah ayaa la geliyo. Xirmadani waxay si farxad leh u aqbashaa qoraal-gacmeed fog (hoos eeg).
Boom! Hab kale oo qarsoodi ah, oo aamusan oo lagu soo saari karo qolof isticmaalaya qoraallada COM.
Ka dib kormeer kood-hoosaad, cilmi-baaruhu wuxuu ogaaday in tani ay dhab ahaantii ahayd bug ku jira software-ka xirmada. Looguma talagalin in lagu socodsiiyo qoraalada COM, laakiin kaliya in la tixraaco faylalka. Ma hubo in balastar u nuglaantan ay hore u jirtay. Cilmi-baadhisteyda ku saabsan Amazon WorkSpaces desktop-ka casriga ah ee Xafiiska 2010 horay loo sii rakibay, waxaan awooday inaan dib u soo saaro natiijooyinka. Si kastaba ha ahaatee, markii aan mar kale isku dayay in yar ka dib, mar dambe ma awoodin inaan sidaas sameeyo.
Runtii waxaan rajeynayaa in aan kuu sheegay waxyaabo badan oo xiiso leh isla markaana aan tusay in hackers-ku ay u soo geli karaan shirkaddaada sidan ama si la mid ah. Xitaa haddii aad ku rakibto dhammaan balastarradii ugu dambeeyay ee Microsoft, haakarisku waxay weli haystaan qalab badan oo ay ku heli karaan nidaamka: laga bilaabo VBA macros, oo aan ku bilaabay taxanahan, ilaa lacag-bixinno xaasidnimo ah oo ku jira Word ama Excel.
Maqaalka ugu dambeeya (waxaan ballan qaadayaa) maqaalkan, waxaan ka hadli doonaa sida loo xaqiijiyo ilaalin macquul ah.
Source: www.habr.com
