Sengoliloeng sena ke karolo ea letoto la Fileless Malware. Likarolo tse ling kaofela tsa letoto:
- Adventures of Elusive Malware, Karolo ea IV: DDE le Word Document Fields (re mona)
Sengoliloeng sena, ke ne ke tlo ikakhela ka setotsoana ketsahalong e thata le ho feta ea mekhahlelo e mengata ea ho phehella e se nang lifaele. Empa joale ke ile ka kopana le tlhaselo e bonolo haholo e se nang khoutu - ha ho na Lentsoe kapa Excel macros e hlokahalang! 'Me e paka ka nepo maikutlo a ka a mantlha bakeng sa letoto lena: hore ho kenella ka ntle ho mokhatlo ofe kapa ofe ha se mosebetsi o boima.
Tlhaselo ea pele eo ke tla e hlalosa e sebelisa ts'oaetso ea Microsoft Word e itšetlehileng ka eona e sa sebetseng (DDE)O ne a se a le teng. . Ea bobeli e sebelisa ho ba kotsing e akaretsang ho Microsoft COM le bokhoni ba ho feta ba ntho.
Khutlela Bokamosong ka DDE
Na ho na le motho ea ntseng a hopola DDE? Mohlomong ha ba bangata. E ne e le e 'ngoe ea tsa pele ho sebelisana le mekhoa ea puisano e lumellang lits'ebetso le lisebelisoa ho buisana.
Ke tseba hanyenyane ka eona, hobane ke ne ke tloaetse ho hlahloba le ho hlahloba lisebelisoa tsa telecom. Ka nako eo, DDE e ile ea lumella, ka mohlala, basebetsi ba setsi sa mohala hore ba fetise ID ea motho ea letsetsang ho kopo ea CRM, e ileng ea qetella e bula karete ea bareki. Ho etsa sena, o ne o tlameha ho hokela thapo ea RS-232 pakeng tsa mohala le komporo. E ne e le matsatsi ao!
Ha e le hantle, Microsoft Word e ntse e le teng DDE.
Se etsang hore tlhaselo ena e atlehe ntle le khoutu ke hore o ka fihlella protocol ea DDE непосредственно ho tsoa libakeng tse ikemetseng tsa tokomane ea Lentsoe (hats off to SensePost for mabapi le sena).
Likhoutu tsa tšimo - Ena ke karolo e 'ngoe ea khale ea MS Word e u lumellang hore u kenye mongolo o matla le lenaneo le itseng tokomaneng ea hau. Mohlala o hlakileng ka ho fetesisa ke sebaka sa nomoro ea leqephe, se ka kenngoa botlaseng ho sebelisoa boleng ba {PAGE *MERGEFORMAT}. Sena se o lumella ho iketsetsa linomoro tsa maqephe.
Tlhahiso: U ka fumana ntho ea "Field menu" tlas'a karolo ea Insert.
Ke hopola ke hloletsoe ha ke qala ho fumana tšobotsi ena ho Word. Ho fihlela patch e e holofatsa, Lentsoe le tšehelitse khetho ea masimo a DDE. Morero e ne e le hore DDE e lumelle Lentsoe ho buisana ka kotloloho le ts'ebeliso, e le hore tlhahiso ea lenaneo e ka fetisetsoa tokomaneng. Ena e ne e le thekenoloji e nyenyane haholo ka nako eo - e tšehetsa phapanyetsano ea data le lisebelisoa tsa kantle. Hamorao e ile ea ntlafatsoa ho ba theknoloji ea COM, eo re tla e sheba hape ka tlase.
Qetellong, linokoane li ile tsa hlokomela hore kopo ena ea DDE e ka ba khetla ea litaelo, eo ka sebele e tsamaisang PowerShell, 'me ho tloha moo basomi ba ka etsa eng kapa eng eo ba e batlang.
Setšoantšo sa skrini se ka tlase se bontša kamoo ke sebelisitseng mokhoa ona oa bolotsana: script e nyenyane ea PowerShell (eo ka mor'a moo e bitsoang PS) e tsoang tšimong ea DDE e jara script e 'ngoe ea PS e qalang karolo ea bobeli ea tlhaselo.
Ke leboha Windows ka ho hlahisa temoso ea hore lebala la DDEAUTO le hahelletsoeng le leka ka lekunutu ho qala khetla.
Mokhoa o ratoang oa ho sebelisa monyetla oa ho ba kotsing ke ho sebelisa karolo ea DDEAUTO, e tsamaisang mongolo ka bo eona. ha ho buloa Tokomane ea mantsoe.
A re nahaneng hore na ho ka etsoa eng ka sena.
Joaloka moqapi oa li-novice, u ka etsa mohlala, ho romela lengolo-tsoibila la phishing, u iketsa eka u tsoa ho Federal Tax Service, 'me u kenye tšimo ea DDEAUTO ka mongolo oa PS bakeng sa mohato oa pele (ho theoha, ha e le hantle). Hape ha ho hlokahale hore u etse likhoutu tsa 'nete tsa macros, joalo-joalo, joalo ka ha ke entse ho
Motho ea hlasetsoeng o bula tokomane ea hau, mongolo o kentsoeng oa sebetsa, 'me senokoane se ka har'a komporo. Tabeng ea ka, sengoloa sa PS se hole se hatisa molaetsa feela, empa se ka hlahisa moreki oa PS Empire habonolo, se neng se tla fana ka phihlello ea khetla e hole.
'Me pele motho ea hlokofalitsoeng a ka bua letho, basomi e tla ba bacha ba ruileng ka ho fetisisa motseng.
Khetla e ile ea qalisoa ntle le ho khouta. Esita le ngoana a ka e etsa!
DDE le masimo
Hamorao, Microsoft e ile ea tima DDE ka Lentsoe, empa pele ho moo, k'hamphani e boletse hore tšobotsi ena e ne e sebelisoa hampe feela. Ho tsilatsila ha bona ho fetola ntho leha e le efe hoa utloahala. Ho tsoa phihlelong ea ka, le 'na ke bone mohlala o joalo moo ho ntlafatsa masimo ha ho bula tokomane ho ile ha khoneha, empa li-macros tsa Word li ne li holofalitsoe ke tšebeletso ea IT (empa ka tsebiso). Ha u le tseleng, u ka fumana li-parameter tse lumellanang le karolo ea li-setting tsa Word.
Leha ho le joalo, leha ntlafatso ea tšimo e lumelletsoe, Microsoft Word e boetse e tsebisa mosebelisi ha tšimo e kopa phihlello ea data e hole, joalo ka DDE e kaholimo. Microsoft ea u lemosa.
Empa basebelisi ba kanna ba iphapanyetsa temoso mme ba nolofalletse lintlafatso tsa tšimo ho Word. Ena ke e 'ngoe ea menyetla e sa tloaelehang ea ho leboha Microsoft ka ho tima karolo e kotsi ea DDE.
Ho thata hakae ho fumana sistimi e sa ngolisoang ea Windows matsatsing ana?
Bakeng sa tlhahlobo ena, ke sebelisitse AWS Workspaces ho fihlella komporo ea nnete. Sena se ile sa mpha MS Office VM e sa ngolisoang e ileng ea ntumella ho kenya sebaka sa DDEAUTO. Ha ke na pelaelo ea hore u ka fumana lik'hamphani tse ling tse ntseng li e-so kenye lipache tse hlokahalang tsa ts'ireletso ka tsela e ts'oanang.
Sephiri sa Lintho
Leha o kentse patch ena, ho na le masoba a mang a ts'ireletso ho MS Office a lumellang linokoane ho etsa ntho e ts'oanang le eo re e entseng ka Word. Boemong bo latelang, re tla ithuta hore na joang Sebelisa Excel e le leraba bakeng sa tlhaselo ea phishing ntle le ho ngola khoutu.
Ho utloisisa boemo bona, a re hopoleng Moetso oa Ntho oa Microsoft oa Component Object Model, kapa Component Object Model ka bokhutšoanyane. COM (Mohlala oa Ntho ea Karolo).
COM esale e le teng ho tloha lilemong tsa bo-1990 'me e hlalosoa e le "mohlala o sa nkeng lehlakore oa puo, o shebaneng le lintho" o ipapisitse le mehala ea ts'ebetso ea RPC e hole. Bakeng sa kutloisiso e akaretsang ea mantsoe a COM, bala ho StackOverflow.
Ha e le hantle, o ka nahana ka kopo ea COM e le Excel kapa Word e ka phethisoang, kapa faele e 'ngoe e sebetsang ea binary.
Hoa fumaneha hore sesebelisoa sa COM le sona se ka sebetsa boemo - JavaScript kapa VBScript. Ka botsebi e bitsoa mongolo. E ka 'na eaba u kopane le .sct extension bakeng sa lifaele tse Windows - ena ke katoloso ea molao bakeng sa scriptlets. Ha e le hantle, ke khoutu ea script e phuthetsoeng ka sekoahelo sa XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Bo-hackers le pentester ba fumane hore ho na le lisebelisoa le lits'ebetso tse arohaneng ho Windows tse amohelang lintho tsa COM, ka hona, li-scriptlets le tsona.
Nka fetisetsa scriptlet ho Windows utility e ngotsoeng VBS e tsejoang e le pubprn. E lula botebong ba C:\Windows\system32\Printing_Admin_Scripts. Ka tshohanyetso, ho na le lisebelisoa tse ling tsa Windows tse amohelang lintho e le liparamente. A re qaleng ka mohlala ona.
Ke ntho ea tlhaho hore khetla e ka qalisoa esita le ho tsoa ho mongolo o hatisitsoeng. Eya, Microsoft!
E le teko, ke thehile scriptlet e bonolo e hōle e hlahisang khetla ebe e hatisa molaetsa o qabolang "U sa tsoa ngoloa!" Ha e le hantle, pubprn e tiisa ntho ea scriptlet, e lumella VBScript khoutu ho qala khetla. Mokhoa ona o fana ka melemo e ikhethang ho barekisi ba batlang ho nyenyelepa le ho ipata ka sistimi ea hau.
Ka poso e latelang ke tla hlalosa kamoo li-scriptlets tsa COM li ka sebelisoang hampe ke linokoane tse sebelisang li-spreadsheet tsa Excel.
Bakeng sa mosebetsi oa hau oa lapeng, shebella sena ho tloha Derbycon 2016, e hlalosang hantle hore na barekisi ba sebelisa li-scriptlets joang. Mme hape bala ka li-scriptlets le mofuta o mong oa moniker.
Source: www.habr.com
