Ky artikull është pjesë e serisë Fileless Malware. Të gjitha pjesët e tjera të serisë:
- (ne jemi këtu)
Në këtë seri artikujsh, ne eksplorojmë metoda sulmi që kërkojnë përpjekje minimale nga ana e hakerëve. Ne te shkuaren Ne kemi mbuluar se është e mundur që të futet vetë kodi në ngarkesën e fushës automatike të DDE në Microsoft Word. Duke hapur një dokument të tillë të bashkangjitur në një email phishing, një përdorues i pakujdesshëm do t'i lejojë sulmuesit të fitojë një terren në kompjuterin e tij. Sidoqoftë, në fund të vitit 2017, Microsoft kjo shteg për sulmet ndaj DDE.
Rregullimi shton një hyrje në regjistër që çaktivizon funksionet DDE në Word. Nëse ju duhet ende ky funksionalitet, atëherë mund ta ktheni këtë opsion duke aktivizuar aftësitë e vjetra DDE.
Sidoqoftë, patch-i origjinal mbulonte vetëm Microsoft Word. A ekzistojnë këto dobësi DDE në produkte të tjera të Microsoft Office që mund të shfrytëzohen gjithashtu në sulme pa kod? Po sigurisht. Për shembull, mund t'i gjeni edhe në Excel.
Nata e të Gjallës DDE
Mbaj mend që herën e fundit u ndala në përshkrimin e skripteve COM. Unë premtoj se do t'i takoj më vonë në këtë artikull.
Ndërkohë, le të shohim një anë tjetër të keqe të DDE në versionin Excel. Ashtu si në Word, disa veçoritë e fshehura të DDE në Excel ju lejon të ekzekutoni kodin pa shumë përpjekje. Si përdorues i Word-it që u rrita, isha i njohur me fushat, por aspak me funksionet në DDE.
U habita kur mësova se në Excel mund të thërras një guaskë nga një qelizë siç tregohet më poshtë:
A e dini se kjo ishte e mundur? Personalisht, nuk e bëj
Kjo aftësi për të nisur një guaskë Windows është mirësjellje e DDE. Ju mund të mendoni për shumë gjëra të tjera
Aplikacione me të cilat mund të lidheni duke përdorur funksionet e integruara DDE të Excel.
A po mendon të njëjtën gjë që mendoj unë?
Lejo që komanda jonë në qelizë të nisë një sesion PowerShell që më pas shkarkon dhe ekzekuton lidhjen - kjo , të cilin e kemi përdorur tashmë më parë. Shikoni më poshtë:
Thjesht ngjitni pak PowerShell për të ngarkuar dhe ekzekutuar kodin në distancë në Excel
Por ka një kapje: duhet t'i futni në mënyrë eksplicite këto të dhëna në qelizë që kjo formulë të funksionojë në Excel. Si mundet një haker ta ekzekutojë këtë komandë DDE nga distanca? Fakti është se kur një tabelë Excel është e hapur, Excel do të përpiqet të përditësojë të gjitha lidhjet në DDE. Cilësimet e Qendrës së Besimit kanë pasur prej kohësh aftësinë për ta çaktivizuar këtë ose për të paralajmëruar kur përditësohen lidhjet me burimet e jashtme të të dhënave.
Edhe pa arnimet më të fundit, mund të çaktivizoni përditësimin automatik të lidhjeve në DDE
Microsoft fillimisht vetë Kompanitë në 2017 duhet të çaktivizojnë përditësimet automatike të lidhjeve për të parandaluar dobësitë e DDE në Word dhe Excel. Në janar 2018, Microsoft lëshoi arnime për Excel 2007, 2010 dhe 2013 që çaktivizojnë DDE si parazgjedhje. Kjo Computerworld përshkruan të gjitha detajet e patch-it.
Epo, po në lidhje me regjistrat e ngjarjeve?
Sidoqoftë, Microsoft braktisi DDE-në për MS Word dhe Excel, duke njohur kështu më në fund se DDE është më shumë si një gabim sesa funksionalitet. Nëse për ndonjë arsye nuk i keni instaluar ende këto arna, mund të ulni rrezikun e një sulmi DDE duke çaktivizuar përditësimet automatike të lidhjeve dhe duke aktivizuar cilësimet që i nxisin përdoruesit të përditësojnë lidhjet kur hapin dokumente dhe fletëllogaritëse.
Tani pyetja miliona dollarëshe: Nëse jeni viktimë e këtij sulmi, a do të shfaqen në regjistër seancat e PowerShell të nisura nga fushat e Word ose qelizat e Excel?
Pyetje: A janë regjistruar seancat e PowerShell të nisura përmes DDE? Përgjigje: po
Kur ekzekutoni sesionet e PowerShell drejtpërdrejt nga një qelizë Excel dhe jo si makro, Windows do t'i regjistrojë këto ngjarje (shih më lart). Në të njëjtën kohë, nuk mund të pretendoj se do të jetë e lehtë për ekipin e sigurisë që më pas të lidhë të gjitha pikat midis sesionit të PowerShell, dokumentit të Excel dhe mesazhit të postës elektronike dhe të kuptojë se ku filloi sulmi. Do t'i kthehem kësaj në artikullin e fundit në serinë time të pafundme mbi malware-in e pakapshëm.
Si është COM ynë?
Në të mëparshmen Unë preka temën e skripteve COM. Ata janë të përshtatshëm në vetvete. , i cili ju lejon të kaloni kodin, të themi JScript, thjesht si një objekt COM. Por më pas skriptet u zbuluan nga hakerat, dhe kjo i lejoi ata të fitonin një terren në kompjuterin e viktimës pa përdorimin e mjeteve të panevojshme. Kjo nga Derbycon demonstron mjete të integruara të Windows si regsrv32 dhe rundll32 që marrin skriptet në distancë si argumente dhe hakerët në thelb kryejnë sulmin e tyre pa ndihmën e malware. Siç tregova herën e kaluar, ju mund të ekzekutoni lehtësisht komandat PowerShell duke përdorur një skript JScript.
Doli që dikush është shumë i zgjuar gjeti një mënyrë për të ekzekutuar një skriptet COM в dokument Excel. Ai zbuloi se kur u përpoq të fuste një lidhje të një dokumenti ose fotografie në një qelizë, një paketë e caktuar u fut në të. Dhe kjo paketë pranon në heshtje një skript në distancë si hyrje (shih më poshtë).
Bum! Një tjetër metodë e fshehtë dhe e heshtur për të nisur një predhë duke përdorur skriptet COM
Pas një inspektimi të kodit të nivelit të ulët, studiuesi zbuloi se çfarë është në të vërtetë insekt në softuerin e paketës. Nuk kishte për qëllim të ekzekutonte skriptet COM, por vetëm të lidhte skedarët. Nuk jam i sigurt nëse ka tashmë një rregullim për këtë cenueshmëri. Në studimin tim duke përdorur Amazon WorkSpaces me Office 2010 të parainstaluar, unë munda të përsërisja rezultatet. Megjithatë, kur provova përsëri pak më vonë, nuk funksionoi.
Unë me të vërtetë shpresoj që ju thashë shumë gjëra interesante dhe në të njëjtën kohë tregova se hakerat mund të depërtojnë në kompaninë tuaj në një ose një mënyrë tjetër të ngjashme. Edhe nëse instaloni të gjitha arnimet më të fundit të Microsoft-it, hakerët kanë ende shumë mjete për të fituar një terren në sistemin tuaj, nga makrot VBA me të cilat fillova këtë seri deri te ngarkesat me qëllim të keq në Word ose Excel.
Në artikullin e fundit (premtoj) në këtë sagë, do të flas se si të siguroj mbrojtje inteligjente.
Burimi: www.habr.com