The Adventures of the Elusive Malware, Karolo ea V: Le ho Feta DDE le COM Scriptlets

Sengoliloeng sena ke karolo ea letoto la Fileless Malware. Likarolo tse ling kaofela tsa letoto:

• Lipapali tsa Elusive Malware, Karolo ea I
• The Adventures of Elusive Malware, Karolo II: Lekunutu VBA Scripts
• Adventures of the Elusive Malware, Karolo ea III: Lingoliloeng tsa VBA tse Tangled bakeng sa Litšeho le phaello.
• The Adventures of Elusive Malware, Karolo ea IV: DDE le Word Document Fields
• The Adventures of the Elusive Malware, Karolo ea V: Le ho Feta DDE le COM Scriptlets (re mona)

Letotong lena la lihlooho, re hlahloba mekhoa ea tlhaselo e hlokang boiteko bo fokolang ho ba hackers. Nakong e fetileng sehlooho Re koahetse hore hoa khoneha ho kenya khoutu ka boeona ho DDE autofield payload ho Microsoft Word. Ka ho bula tokomane e joalo e khomaretsoeng ho lengolo-tsoibila la phishing, mosebelisi ea sa hlokomeleng o tla lumella mohlaseli hore a fumane sebaka sa khomphutha ea hae. Leha ho le joalo, qetellong ea 2017, Microsoft koaloa sebaka sena sa litlhaselo ho DDE.
Tokiso e eketsa kenyelletso ea registry e thibelang Mesebetsi ea DDE ka Lentsoe. Haeba o ntse o hloka ts'ebetso ena, o ka khutlisa khetho ena ka ho nolofalletsa bokhoni ba khale ba DDE.

Leha ho le joalo, patch ea pele e ne e koahela Microsoft Word feela. Na bofokoli bona ba DDE bo teng lihlahisoang tse ling tsa Microsoft Office tse ka sebelisoang hampe tlhaselong ea no-code? E, ehlile. Ka mohlala, u ka li fumana ho Excel.

Bosiu ba ba Phelang DDE

Ke hopola hore lekhetlo la ho qetela ke ile ka emisa tlhaloso ea li-scriptlets tsa COM. Ke tšepisa hore ke tla bua le bona hamorao sehloohong sena.

Khabareng, ha re shebeng lehlakore le leng le lebe la DDE ho mofuta oa Excel. Joalo ka Lentsoeng, ba bang likarolo tse patiloeng tsa DDE ho Excel lumella u ho phethisa khoutu ntle le boiteko bo boholo. Joaloka mosebelisi oa Lentsoe ea hōlileng, ke ne ke tloaelane le masimo, empa ho hang ke ne ke sa tsebe ka mesebetsi ea DDE.

Ke ile ka hlolloa ha ke tseba hore ho Excel nka bitsa khetla ho tsoa seleng joalokaha ho bontšitsoe ka tlase:

A o ne o itse gore seno se ne se ka kgonega? Ka bonna, ha ke tsebe

Bokhoni bona ba ho qala khetla ea Windows ke molemong oa DDE. U ka nahana ka lintho tse ling tse ngata
Lisebelisoa tseo u ka hokelang ho tsona u sebelisa lits'ebetso tsa DDE tse hahelletsoeng ka hare ho Excel.
Na le uena u nahana ka ntho e tšoanang le eo ke e nahanang?

E re taelo ea rona ea in-cell e qale nako ea PowerShell e tla khoasolla le ho sebelisa sehokelo - sena kamohelo, eo re seng re e sebelisitse pele. Sheba ka tlase:

Beha PowerShell e nyane ho kenya le ho tsamaisa khoutu e hole ho Excel

Empa ho na le ho tšoasa: o tlameha ho kenya data ena ka ho hlaka ka seleng hore foromo ena e sebetse ho Excel. Sesenyi se ka phethisa taelo ee ea DDE joang re le hole? Taba ke hore ha tafole ea Excel e butsoe, Excel e tla leka ho nchafatsa lihokelo tsohle ho DDE. Litlhophiso tsa Trust Center ke khale li na le bokhoni ba ho tima sena kapa ho lemosa ha u nchafatsa lihokelo tsa mehloli ea data e kantle.

Leha u se na li-patches tsa morao-rao, u ka tima lintlafatso tsa othomathike ho DDE

Microsoft qalong ka boeona eletsa Likhamphani tsa 2017 li lokela ho tima liapdeite tsa khokahano ea othomathiki ho thibela bofokoli ba DDE ho Word le Excel. Ka Pherekhong 2018, Microsoft e ile ea lokolla likhechana tsa Excel 2007, 2010 le 2013 tse thibelang DDE ka boiketsetso. Sena sehlooho Computerworld e hlalosa lintlha tsohle tsa patch.

Joale, ho thoe'ng ka litlaleho tsa liketsahalo?

Leha ho le joalo Microsoft e ile ea lahla DDE bakeng sa MS Word le Excel, kahoo qetellong ea hlokomela hore DDE e tšoana le kokoanyana ho feta ts'ebetso. Haeba ka mabaka a itseng ha u e-s'o kenye li-patches tsena, u ntse u ka fokotsa kotsi ea tlhaselo ea DDE ka ho thibela lisebelisoa tsa lihokelo tse ikemetseng le ho nolofalletsa litlhophiso tse susumelletsang basebelisi ho ntlafatsa lihokelo ha ba bula litokomane le li-spreadsheet.

Joale potso ea lidolara tse milione: Haeba u lehlatsipa la tlhaselo ee, na mananeo a PowerShell a tla hlahisoa ho tsoa masimong a Lentsoe kapa liseleng tsa Excel li tla hlaha ka har'a log?

Potso: Na linako tsa PowerShell li qalisoa ka DDE li lokisitsoe? Karabo: ho joalo

Ha o tsamaisa linako tsa PowerShell ka kotloloho ho tsoa seleng ea Excel eseng joalo ka macro, Windows e tla ngola liketsahalo tsena (bona ka holimo). Ka nako e ts'oanang, ha ke khone ho bolela hore ho tla ba bonolo hore sehlopha sa tšireletso se kopanye matheba 'ohle pakeng tsa seboka sa PowerShell, tokomane ea Excel le molaetsa oa imeile le ho utloisisa hore na tlhaselo e qalile hokae. Ke tla khutlela ho sena sengolong sa ho qetela letotong la ka le sa feleng mabapi le malware a sa bonahaleng.

COM ea rona e joang?

Nakong e fetileng sehlooho Ke ile ka ama sehlooho sa li-scriptlets tsa COM. Ba loketse ka bobona. thekenoloji, e u lumellang ho fetisa khoutu, ho re JScript, joalo ka ntho ea COM. Empa joale li-scriptlets li ile tsa sibolloa ke linokoane, 'me sena se ile sa li lumella ho fumana k'homphieutha ea mohlaseluoa ntle le tšebeliso ea lisebelisoa tse sa hlokahaleng. Sena видео ho tsoa Derbycon e bonts'a lisebelisoa tsa Windows tse hahelletsoeng joalo ka regsrv32 le rundll32 tse amohelang mangolo a hole joalo ka likhang, 'me linokoane li etsa tlhaselo ea tsona ntle le thuso ea malware. Joalokaha ke bontšitse nakong e fetileng, o ka tsamaisa litaelo tsa PowerShell habonolo o sebelisa sengoloa sa JScript.

Ho ile ha fumaneha hore motho o bohlale haholo mofuputsi fumana mokhoa oa ho tsamaisa mongolo oa COM в Tokomane ea Excel. O ile a fumana hore ha a leka ho kenya khokahanyo ea tokomane kapa setšoantšo ka seleng, ho ne ho kenngoa sephutheloana se itseng ka har’a eona. 'Me sephutheloana sena se amohela ka khutso scriptlet e hole e le kenyelletso (sheba ka tlase).

Boom! Mokhoa o mong o poteletseng, o khutsitseng oa ho qala khetla o sebelisa mangolo a COM

Ka mor'a tlhahlobo ea khoutu e tlaase, mofuputsi o ile a fumana hore na ha e le hantle ke eng kokoanyana ka har'a software ea sephutheloana. E ne e sa rereloa ho tsamaisa lingoloa tsa COM, empa feela ho hokahanya lifaele. Ha ke na bonnete ba hore na ho se ho ntse ho na le patch bakeng sa ts'oaetso ena. Thutong ea ka ke sebelisa Amazon WorkSpaces e nang le Office 2010 e kentsoeng esale pele, ke khonne ho pheta liphetho. Leha ho le joalo, ha ke leka hape hamorao, ha ea ka ea sebetsa.

Ke na le tšepo ea hore ke u boleletse lintho tse ngata tse thahasellisang 'me ka nako e ts'oanang ke bontšitse hore basomi ba ka phunyeletsa k'hamphani ea hau ka tsela e' ngoe kapa e 'ngoe e tšoanang. Le ha o kenya lipache tsa morao-rao tsa Microsoft, barekisi ba ntse ba e-na le lisebelisoa tse ngata tsa ho fumana ts'ebetso ho sistimi ea hau, ho tloha ho VBA macros ke qalile letoto lena ho isa mejaro e kotsi ho Lentsoe kapa Excel.

Sehloohong sa ho qetela (kea tšepisa) saga ena, ke tla bua ka mokhoa oa ho fana ka tšireletso e bohlale.

Source: www.habr.com