Ky artikull është pjesë e serisë Fileless Malware. Të gjitha pjesët e tjera të serisë:
- Aventurat e malware të pakapshëm, Pjesa IV: Fushat e Dokumentit DDE dhe Word (ne jemi këtu)
Në këtë artikull, unë do të zhytesha në një skenar edhe më kompleks të sulmit pa skedarë me shumë faza me fiksim në sistem. Por më pas hasa në një sulm tepër të thjeshtë, pa kod - nuk kërkohen makro Word ose Excel! Dhe kjo vërteton në mënyrë shumë më efektive hipotezën time origjinale që qëndron në themel të kësaj serie artikujsh: thyerja e perimetrit të jashtëm të çdo organizate nuk është aspak një detyrë e vështirë.
Sulmi i parë që do të përshkruaj shfrytëzon një dobësi të Microsoft Word që bazohet në të i vjetëruar (DDE). Ajo ishte tashmë . E dyta shfrytëzon një dobësi më të përgjithshme në COM të Microsoft dhe aftësitë e transferimit të objekteve.
Kthehu në të ardhmen me DDE
Dikush tjetër e mban mend DDE? Ndoshta jo shumë. Ishte një nga të parët protokollet e komunikimit ndër-procesor që lejonin aplikacionet dhe pajisjet të transferonin të dhëna.
Unë jam pak i njohur me të vetë sepse kam kontrolluar dhe testuar pajisjet e telekomit. Në atë kohë, DDE lejoi, për shembull, operatorët e qendrave të thirrjeve të transferonin ID-në e telefonuesit në një aplikacion CRM, i cili në fund hapi një kartë klienti. Për ta bërë këtë, ju duhej të lidhni një kabllo RS-232 midis telefonit dhe kompjuterit tuaj. Ishin ato ditë!
Siç rezulton, Microsoft Word është ende DDE.
Ajo që e bën këtë sulm efektiv pa kod është se ju mund të përdorni protokollin DDE drejtpërdrejt nga fushat automatike në një dokument Word (kapelet për SensePost për në lidhje me të).
Kodet e terrenit është një tjetër veçori e lashtë e MS Word që ju lejon të shtoni tekst dinamik dhe pak programim në dokumentin tuaj. Shembulli më i dukshëm është fusha e numrit të faqes, e cila mund të futet në fund duke përdorur vlerën {PAGE *MERGEFORMAT}. Kjo lejon që numrat e faqeve të gjenerohen automatikisht.
Këshillë: Mund ta gjeni artikullin e menysë Field nën Fut.
Mbaj mend që kur zbulova për herë të parë këtë veçori në Word, u mahnita. Dhe derisa patch-i e çaktivizoi atë, Word ende mbështeti opsionin e fushave DDE. Ideja ishte që DDE të lejonte Word-in të komunikonte drejtpërdrejt me aplikacionin, në mënyrë që më pas të kalonte daljen e programit në një dokument. Ishte një teknologji shumë e re në atë kohë - mbështetje për shkëmbimin e të dhënave me aplikacione të jashtme. Më vonë u zhvillua në teknologjinë COM, të cilën do ta shohim gjithashtu më poshtë.
Përfundimisht, hakerët kuptuan se ky aplikacion DDE mund të ishte një guaskë komanduese, e cila natyrisht lançoi PowerShell, dhe prej andej hakerët mund të bënin çfarë të donin.
Pamja e ekranit më poshtë tregon se si e përdora këtë teknikë të fshehtë: një skrip i vogël PowerShell (më tej i referuar si PS) nga fusha DDE ngarkon një skript tjetër PS, i cili nis fazën e dytë të sulmit.
Falë Windows-it për paralajmërimin që shfaqet se fusha e integruar DDEAUTO po përpiqet fshehurazi të nisë guaskën
Metoda e preferuar e shfrytëzimit të cenueshmërisë është përdorimi i një varianti me fushën DDEAUTO, e cila ekzekuton automatikisht skriptin kur hapet Dokument Word.
Le të mendojmë se çfarë mund të bëjmë për këtë.
Si një haker rishtar, mund, për shembull, të dërgoni një email phishing, duke pretenduar se jeni nga Shërbimi Federal i Taksave, dhe të futni fushën DDEAUTO me skriptin PS për fazën e parë (një pikatore, në thelb). Dhe as nuk keni nevojë të bëni ndonjë kodim të vërtetë të makrove, etj., siç bëra unë
Viktima hap dokumentin tuaj, skripti i integruar aktivizohet dhe hakeri përfundon brenda kompjuterit. Në rastin tim, skripti i largët PS thjesht printon një mesazh, por po aq lehtë mund të nisë klientin PS Empire, i cili do të sigurojë akses në distancë të guaskës.
Dhe para se viktima të ketë kohë për të thënë diçka, hakerët do të rezultojnë të jenë adoleshentët më të pasur në fshat.
Predha u lëshua pa asnjë kodim më të vogël. Edhe një fëmijë mund ta bëjë këtë!
DDE dhe fushat
Microsoft më vonë çaktivizoi DDE në Word, por jo përpara se kompania të deklaronte se veçoria thjesht ishte keqpërdorur. Ngurrimi i tyre për të ndryshuar diçka është i kuptueshëm. Në përvojën time, unë vetë kam parë një shembull ku përditësimi i fushave gjatë hapjes së një dokumenti ishte i aktivizuar, por makrot e Word u çaktivizuan nga IT (por shfaqja e një njoftimi). Nga rruga, mund të gjeni cilësimet përkatëse në seksionin e cilësimeve të Word.
Megjithatë, edhe nëse përditësimi i fushës është i aktivizuar, Microsoft Word gjithashtu njofton përdoruesin kur një fushë kërkon qasje në të dhënat e fshira, siç është rasti me DDE më lart. Microsoft po ju paralajmëron vërtet.
Por ka shumë të ngjarë, përdoruesit ende do ta injorojnë këtë paralajmërim dhe do të aktivizojnë përditësimin e fushave në Word. Kjo është një nga mundësitë e rralla për të falënderuar Microsoft për çaktivizimin e veçorisë së rrezikshme DDE.
Sa e vështirë është të gjesh një sistem Windows të papatchuar sot?
Për këtë testim, kam përdorur AWS Workspace për të hyrë në një desktop virtual. Në këtë mënyrë mora një makinë virtuale MS Office të papatchuar që më lejoi të fusja fushën DDEAUTO. Nuk kam dyshim se në mënyrë të ngjashme mund të gjeni kompani të tjera që nuk kanë instaluar ende arnimet e nevojshme të sigurisë.
Misteri i objekteve
Edhe nëse e keni instaluar këtë patch, ka vrima të tjera sigurie në MS Office që lejojnë hakerët të bëjnë diçka shumë të ngjashme me atë që bëmë me Word. Në skenarin tjetër do të mësojmë përdorni Excel si karrem për një sulm phishing pa shkruar asnjë kod.
Për të kuptuar këtë skenar, le të kujtojmë modelin e objektit të komponentit të Microsoft, ose shkurtimisht COM (Modeli i objektit të komponentit).
COM ka ekzistuar që nga vitet 1990 dhe përkufizohet si një "model komponenti neutral ndaj gjuhës, i orientuar nga objekti" i bazuar në thirrjet e procedurës në distancë RPC. Për një kuptim të përgjithshëm të terminologjisë COM, lexoni në StackOverflow.
Në thelb, ju mund të mendoni për një aplikacion COM si një ekzekutues Excel ose Word, ose ndonjë skedar tjetër binar që funksionon.
Rezulton se një aplikacion COM gjithashtu mund të ekzekutohet skenar — JavaScript ose VBScript. Teknikisht quhet skriptet. Ju mund të keni parë shtesën .sct për skedarët në Windows - kjo është zgjerimi zyrtar për skriptet. Në thelb, ata janë kod skripti të mbështjellë në një mbështjellës XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hakerët dhe pentestuesit kanë zbuluar se ka programe dhe aplikacione të veçanta në Windows që pranojnë objekte COM dhe, në përputhje me rrethanat, edhe skriptet.
Unë mund t'i kaloj një skriptet një programi të Windows të shkruar në VBS të njohur si pubprn. Ndodhet në thellësi të C:Windowssystem32Printing_Admin_Scripts. Nga rruga, ka shërbime të tjera të Windows që pranojnë objekte si parametra. Le të shohim së pari këtë shembull.
Është krejt e natyrshme që guaska mund të lëshohet edhe nga një skenar i printuar. Shkoni Microsoft!
Si provë, unë krijova një skript të thjeshtë në distancë që lëshon një guaskë dhe printon një mesazh qesharak, "Sapo je shkruar!" Në thelb, pubprn instancon një objekt skriptet, duke lejuar kodin VBScript të ekzekutojë një mbështjellës. Kjo metodë ofron një avantazh të qartë për hakerat që duan të futen fshehurazi dhe të fshihen në sistemin tuaj.
Në postimin tjetër, unë do të shpjegoj se si skriptet COM mund të shfrytëzohen nga hakerët duke përdorur spreadsheets Excel.
Për detyrat e shtëpisë, hidhini një sy nga Derbycon 2016, i cili shpjegon saktësisht se si hakerët përdornin skriptet. Dhe gjithashtu lexoni rreth skripteve dhe një lloj emërtimi.
Burimi: www.habr.com