Sengoliloeng sena ke karolo ea letoto la Fileless Malware. Likarolo tse ling kaofela tsa letoto:
- The Adventures of the Elusive Malware, Karolo ea IV: DDE le Word Document Fields (re mona)
Sengoliloeng sena, ke ne ke tl'o ikakhela ka setotsoana ketsahalong e rarahaneng le ho feta ea mekhahlelo e mengata e se nang lifaele ka ho penya sistimi. Empa joale ke ile ka kopana le tlhaselo e bonolo ka mokhoa o makatsang, e se nang khoutu - ha ho na Lentsoe kapa Excel macros e hlokahalang! 'Me sena se paka ka katleho maikutlo a ka a mantlha a thehiloeng letotong lena la lingoliloeng: ho roba karolo e kantle ea mokhatlo ofe kapa ofe ha se mosebetsi o boima ho hang.
Tlhaselo ea pele eo ke tla e hlalosa e sebelisa ts'oaetso ea Microsoft Word e thehiloeng ho eona e siiloe ke nako (DDE). O ne a se a ntse a le teng . Ea bobeli e sebelisa ts'oaetso e akaretsang ho Microsoft COM le bokhoni ba phetisetso ea ntho.
Khutlela nakong e tlang ka DDE
Ke mang ea hopolang DDE? Mohlomong ha ba bangata. E ne e le e 'ngoe ea tsa pele liprothokholo tsa lipuisano tse lipakeng tsa tšebetso tse neng li lumella lits'ebetso le lisebelisoa ho fetisa data.
Ke e tseba hanyane hobane ke ne ke tloaetse ho sheba le ho lekola lisebelisoa tsa mehala. Ka nako eo, DDE e ile ea lumella, ka mohlala, basebetsi ba setsi sa mohala hore ba fetisetse ID ea motho ea letsetsang ho kopo ea CRM, e ileng ea qetella e bula karete ea bareki. Ho etsa sena, o ne o tlameha ho hokela thapo ea RS-232 pakeng tsa mohala oa hau le komporo ea hau. E ne e le matsatsi ao!
Ha e le hantle, Microsoft Word e ntse e le teng DDE.
Se etsang hore tlhaselo ena e atlehe ntle le khoutu ke hore o ka fihlella protocol ea DDE непосредственно ho tsoa libakeng tse ikemetseng ho tokomane ea Lentsoe (hats off to SensePost for mabapi le eona).
Likhoutu tsa tšimo ke tšobotsi e 'ngoe ea khale ea MS Word e u lumellang hore u kenye mongolo o matla le lenaneo le itseng tokomaneng ea hau. Mohlala o hlakileng ka ho fetesisa ke sebaka sa nomoro ea leqephe, se ka kenngoa botlaseng ho sebelisoa boleng {PAGE *MERGEFORMAT}. Sena se lumella linomoro tsa maqephe ho iketsetsa.
Tlhokomeliso: U ka fumana ntho ea "Field menu" tlas'a Insert.
Ke hopola hore ha ke qala ho fumana tšobotsi ena ho Word, ke ile ka hlolloa. Ho fihlela patch e e holofatsa, Lentsoe le ne le ntse le tšehetsa khetho ea masimo a DDE. Morero e ne e le hore DDE e lumelle Lentsoe ho buisana ka kotloloho le ts'ebeliso, e le hore e ka fetisa tlhahiso ea lenaneo ho tokomane. E ne e le theknoloji e nyenyane haholo ka nako eo - tšehetso bakeng sa phapanyetsano ea data le lisebelisoa tsa kantle. Hamorao e ile ea ntlafatsoa ho ba theknoloji ea COM, eo re tla e sheba hape ka tlase.
Qetellong, linokoane li ile tsa hlokomela hore kopo ena ea DDE e ka ba khetla ea litaelo, eo ka sebele e ileng ea qala PowerShell, 'me ho tloha moo basomi ba ka etsa eng kapa eng eo ba e batlang.
Setšoantšo sa skrine se ka tlase se bontša kamoo ke sebelisitseng mokhoa ona oa bolotsana: mongolo o monyenyane oa PowerShell (oo ka morao o bitsoang PS) o tsoang tšimong ea DDE o jara script e 'ngoe ea PS, e qalang karolo ea bobeli ea tlhaselo.
Ke leboha Windows bakeng sa temoso ea pop-up ea hore lebala la DDEAUTO le hahelletsoeng ka lekunutu le leka ho qala khetla.
Mokhoa o ratoang oa ho sebelisa monyetla oa ho ba kotsing ke ho sebelisa mofuta o fapaneng le karolo ea DDEAUTO, e tsamaisang mongolo ka bo eona. ha ho buloa Tokomane ea mantsoe.
A re nahaneng hore na re ka etsa eng ka taba ena.
Joaloka mohatelli oa novice, ka mohlala, u ka romella lengolo-tsoibila la phishing, u etsa eka u tsoa ho Federal Tax Service, 'me u kenye tšimo ea DDEAUTO ka script ea PS bakeng sa mohato oa pele (se-dropper, ha e le hantle). 'Me ha ho hlokahale hore u etse likhoutu tsa 'nete tsa macros, joalo-joalo, joalo ka ha ke entse
Motho ea hlokofalitsoeng o bula tokomane ea hau, mongolo o kentsoeng oa sebetsa, 'me senokoane se fella ka har'a komporo. Tabeng ea ka, sengoloa sa PS se hole se hatisa molaetsa feela, empa se ka hlahisa moreki oa PS Empire habonolo, se tla fana ka phihlello ea khetla e hole.
'Me pele motho ea hlokofalitsoeng a e-na le nako ea ho bua letho, linokoane li tla fetoha bacha ba ruileng ka ho fetisisa motseng.
Khetla e ile ea qalisoa ntle le le hanyenyane feela ea ho khouta. Esita le ngoana a ka e etsa!
DDE le masimo
Hamorao Microsoft e ile ea tima DDE ka Lentsoe, empa eseng pele k'hamphani e bolela hore karolo eo e sebelisitsoe hampe. Ho hana ha bona ho fetola ntho leha e le efe hoa utloahala. Boiphihlelo ba ka, 'na ka bonna ke bone mohlala moo ho nchafatsa masimo ha ho bula tokomane ho neng ho nolofalitsoe, empa li-macros tsa Lentsoe li ne li holofalitsoe ke IT (empa e bonts'a tsebiso). Ha u le tseleng, u ka fumana litlhophiso tse lumellanang le karolo ea li-setting tsa Word.
Leha ho le joalo, leha ntlafatso ea tšimo e lumelletsoe, Microsoft Word e boetse e tsebisa mosebelisi ha tšimo e kopa phihlello ea data e hlakotsoeng, joalo ka ha ho le joalo ka DDE ka holimo. Microsoft e hlile e u lemosa.
Empa mohlomong, basebelisi ba ntse ba tla iphapanyetsa temoso ena mme ba kenye tšebetsong ntlafatso ea masimo ho Word. Ena ke e 'ngoe ea menyetla e sa tloaelehang ea ho leboha Microsoft ka ho tima karolo e kotsi ea DDE.
Ho thata hakae ho fumana sistimi e sa ngolisoang ea Windows kajeno?
Bakeng sa tlhahlobo ena, ke sebelisitse AWS Workspaces ho fihlella komporo ea nnete. Ka tsela ena ke ile ka fumana mochini o sa ngolisoang oa MS Office o ileng oa ntumella ho kenya lebala la DDEAUTO. Ha ke na pelaelo hore ka tsela e ts'oanang u ka fumana lik'hamphani tse ling tse e-s'o kenye lipache tse hlokahalang tsa tšireletso.
Sephiri sa dintho
Leha o kentse patch ena, ho na le masoba a mang a ts'ireletso ho MS Office a lumellang linokoane ho etsa ntho e ts'oanang le eo re e entseng ka Word. Boemong bo latelang re tla ithuta sebelisa Excel e le leraba bakeng sa tlhaselo ea phishing ntle le ho ngola khoutu efe kapa efe.
Ho utloisisa boemo bona, ha re hopoleng Mohlala oa Ntho ea Karolo ea Microsoft, kapa ka bokhutšoane COM (Mohlala oa Ntho ea Karolo).
COM esale e le teng ho tloha lilemong tsa bo-1990, 'me e hlalosoa e le "mohlala o sa nkeng lehlakore oa puo, o shebaneng le lintho" o ipapisitse le mehala ea ts'ebetso ea RPC e hole. Bakeng sa kutloisiso e akaretsang ea mantsoe a COM, bala ho StackOverflow.
Ha e le hantle, o ka nahana ka kopo ea COM e le Excel kapa Word e ka phethisoang, kapa faele e 'ngoe ea binary e sebetsang.
Hoa fumaneha hore sesebelisoa sa COM le sona se ka sebetsa boemo - JavaScript kapa VBScript. Ka botsebi e bitsoa mongolo. E ka 'na eaba u bone .sct extension bakeng sa lifaele tse Windows - ena ke katoloso ea molao bakeng sa scriptlets. Ha e le hantle, ke khoutu ea script e phuthetsoeng ka sekoahelo sa XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Bo-hackers le pentester ba fumane hore ho na le lisebelisoa le lits'ebetso tse arohaneng ho Windows tse amohelang lintho tsa COM, ka hona, li-scriptlets le tsona.
Ke khona ho fetisa mongolo ho sesebelisoa sa Windows se ngotsoeng ho VBS se tsejoang ka hore ke pubprn. E fumaneha botebong ba C:Windowssystem32Printing_Admin_Scripts. Ka tsela, ho na le lisebelisoa tse ling tsa Windows tse amohelang lintho e le liparamente. A re hlahlobeng mohlala ona pele.
Ke ntho ea tlhaho hore khetla e ka qalisoa esita le ho tsoa ho mongolo o hatisitsoeng. E-ea ho Microsoft!
E le teko, ke thehile mongolo o bonolo o hōle o hlahisang khetla ebe o hatisa molaetsa o qabolang, "U sa tsoa ngoloa!" Ha e le hantle, pubprn e tiisa ntho ea scriptlet, e lumella VBScript khoutu ho tsamaisa sekoahelo. Mokhoa ona o fana ka monyetla o hlakileng ho barekisi ba batlang ho nyenyelepa le ho ipata ka sistimi ea hau.
Ka poso e latelang, ke tla hlalosa kamoo li-scriptlets tsa COM li ka sebelisoang hampe ke linokoane tse sebelisang li-spreadsheet tsa Excel.
Bakeng sa mosebetsi oa sekolo o etsetsoang hae, sheba ho tloha Derbycon 2016, e hlalosang hantle hore na hackers e sebelisitse scriptlets joang. Mme hape bala ka li-scriptlets le mofuta o mong oa moniker.
Source: www.habr.com