Tulisan ieu mangrupikeun bagian tina séri Fileless Malware. Sadaya bagian séjén séri:
- The Adventures of the Elusive Malware, Bagian IV: DDE sareng Widang Dokumén Kecap (kami di dieu)
Dina tulisan ieu, kuring badé teuleum kana skenario serangan fileless multi-tahap anu langkung kompleks sareng pinning dina sistem. Tapi lajeng kuring datang di sakuliah incredibly basajan, no-kode serangan-euweuh Kecap atawa Excel macros diperlukeun! Sareng ieu ngabuktikeun langkung épéktip hipotésis asli kuring anu aya dina séri tulisan ieu: ngarobih perimeter luar organisasi sanés mangrupikeun tugas anu sesah.
Serangan anu munggaran kuring bakal ngajelaskeun mangpaatkeun kerentanan Microsoft Word anu didasarkeun kana katinggaleun jaman (DDE). Manéhna geus . Anu kadua ngamangpaatkeun kerentanan anu langkung umum dina Microsoft COM sareng kamampuan mindahkeun obyék.
Deui ka hareup jeung DDE
Aya nu apal DDE? Meureun teu loba. Éta salah sahiji anu munggaran protokol komunikasi antar-prosés anu ngamungkinkeun aplikasi sareng alat pikeun nransfer data.
Abdi rada wawuh sareng éta sorangan sabab kuring biasa mariksa sareng nguji alat telekomunikasi. Dina waktos éta, DDE diwenangkeun, contona, operator panggero puseur pikeun mindahkeun ID panelepon ka aplikasi CRM, nu pamustunganana muka kartu customer. Jang ngalampahkeun ieu, anjeun kedah nyambungkeun kabel RS-232 antara telepon anjeun sareng komputer. Éta poé!
Salaku tétéla, Microsoft Word masih DDE.
Anu ngajadikeun serangan ieu efektif tanpa kode nyaéta anjeun tiasa ngaksés protokol DDE langsung tina widang otomatis dina dokumen Word (hats off ka SensePost for tentang éta).
Konci widang mangrupa fitur MS Word kuna sejen nu ngidinan Anjeun pikeun nambahkeun téks dinamis sarta saeutik programming kana dokumen Anjeun. Conto anu paling atra nyaéta widang nomer halaman, anu tiasa diselapkeun kana footer nganggo nilai {HALAMAN *MERGEFORMAT}. Hal ieu ngamungkinkeun nomer kaca dihasilkeun otomatis.
pitunjuk: Anjeun tiasa mendakan item ménu Widang dina Selapkeun.
Abdi émut yén nalika kuring mimiti mendakan fitur ieu dina Word, kuring kagum. Sareng dugi ka patch nganonaktipkeun éta, Word masih ngadukung pilihan widang DDE. Gagasanna nyaéta yén DDE bakal ngijinkeun Word pikeun komunikasi langsung sareng aplikasi, ku kituna éta tiasa ngalebetkeun kaluaran program kana dokumen. Téknologi anu ngora pisan dina waktos éta - dukungan pikeun tukeur data sareng aplikasi éksternal. Ieu engké dimekarkeun jadi téhnologi COM, nu urang ogé bakal kasampak di handap.
Antukna, para peretas sadar yén aplikasi DDE ieu bisa mangrupa cangkang paréntah, anu tangtuna ngaluncurkeun PowerShell, sarta ti dinya para peretas bisa ngalakukeun naon waé anu dipikahayang.
Potret layar di handap nunjukkeun kumaha kuring ngagunakeun téknik siluman ieu: skrip PowerShell leutik (saterusna disebut PS) tina widang DDE ngamuat skrip PS anu sanés, anu ngaluncurkeun fase kadua serangan.
Hatur nuhun kana Windows pikeun pop-up warning yén diwangun-di widang DDEAUTO keur cicingeun nyobian ngamimitian cangkang
Métode anu dipikaresep pikeun ngamangpaatkeun kerentanan nyaéta ngagunakeun varian kalayan widang DDEAUTO, anu sacara otomatis ngajalankeun naskah. nalika muka Dokumén Kecap.
Hayu urang mikir ngeunaan naon anu bisa urang pigawé ngeunaan ieu.
Salaku hacker novice, Anjeun bisa, contona, ngirim surelek phishing, pretending yén anjeun ti Service Pajak Federal, jeung embed widang DDEAUTO jeung Aksara PS pikeun tahap kahiji (dropper a, dasarna). Sareng anjeun henteu kedah ngalakukeun coding nyata makro, jsb., sapertos anu kuring lakukeun
Korban muka dokumén anjeun, skrip anu dipasang diaktipkeun, sareng hacker na dugi ka jero komputer. Dina kasus kuring, skrip PS jauh ngan ukur nyitak pesen, tapi éta tiasa gampang ngaluncurkeun klien PS Empire, anu bakal nyayogikeun aksés cangkang jauh.
Sareng sateuacan korban gaduh waktos nyarios nanaon, para peretas bakal janten rumaja anu paling sugih di kampung.
Cangkang diluncurkeun tanpa coding sakedik. Malah murangkalih tiasa ngalakukeunana!
DDE jeung widang
Microsoft engké nganonaktipkeun DDE dina Word, tapi henteu sateuacan perusahaan nyatakeun yén fitur éta ngan saukur disalahgunakeun. Horéam maranéhna pikeun ngarobah nanaon téh kaharti. Dina pangalaman kuring, kuring sorangan ningali conto dimana ngamutahirkeun sawah nalika muka dokumen diaktipkeun, tapi makro Word ditumpurkeun ku IT (tapi nunjukkeun bewara). Ku jalan kitu, anjeun tiasa mendakan setélan anu cocog dina bagian setélan Word.
Sanajan kitu, sanajan ngamutahirkeun widang diaktipkeun, Microsoft Word tambahan ngabéjaan pamaké lamun widang requests aksés ka data dihapus, sakumaha dina kasus DDE di luhur. Microsoft bener-bener ngingetkeun anjeun.
Tapi paling dipikaresep, pamaké masih bakal malire peringatan ieu sareng ngaktipkeun apdet widang dina Word. Ieu mangrupikeun salah sahiji kasempetan anu jarang pikeun hatur nuhun ka Microsoft pikeun nganonaktipkeun fitur DDE anu bahaya.
Kumaha sesah milarian sistem Windows anu teu acan dipasang ayeuna?
Pikeun uji ieu, kuring nganggo AWS Workspaces pikeun ngaksés desktop virtual. Ku cara ieu kuring ngagaduhan mesin virtual MS Office anu teu acan dipasang anu ngamungkinkeun kuring nyelapkeun lapangan DDEAUTO. Kuring henteu ragu yén dina cara anu sami anjeun tiasa mendakan perusahaan sanés anu henteu acan dipasang patch kaamanan anu diperyogikeun.
Misteri objék
Sanaos anjeun masang patch ieu, aya liang kaamanan anu sanés dina MS Office anu ngamungkinkeun peretas ngalakukeun hal anu sami sareng anu urang lakukeun ku Word. Dina skenario salajengna urang bakal diajar make Excel salaku umpan pikeun serangan phishing tanpa nulis kode nanaon.
Pikeun ngartos skenario ieu, hayu urang apal kana Microsoft Component Object Model, atawa pondokna COM (Modél Objék komponén).
COM geus sabudeureun saprak 1990s, sarta dihartikeun salaku "basa-nétral, modél komponén obyék-berorientasi" dumasar kana RPC panggero prosedur jauh. Pikeun pamahaman umum terminologi COM, baca dina StackOverflow.
Dasarna, anjeun tiasa nganggap aplikasi COM salaku Excel atanapi Word executable, atanapi sababaraha file binér sanés anu dijalankeun.
Tétéla hiji aplikasi COM ogé bisa ngajalankeun skénario - JavaScript atanapi VBScript. Téhnisna disebut naskah. Anjeun panginten tiasa ningali ekstensi .sct pikeun file dina Windows - ieu mangrupikeun ekstensi resmi pikeun naskah. Intina, aranjeunna mangrupikeun kode skrip dibungkus dina bungkus XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Peretas sareng pentesters mendakan yén aya utilitas sareng aplikasi anu misah dina Windows anu nampi objék COM sareng, sasuai, naskah ogé.
Abdi tiasa ngalihkeun naskah ka utilitas Windows anu ditulis dina VBS anu katelah pubprn. Tempatna aya di jero C: Windowssystem32Printing_Admin_Scripts. Ku jalan kitu, aya utilitas Windows séjén anu nampi objék salaku parameter. Hayu urang tingali heula conto ieu.
Wajar pisan yén cangkang tiasa diluncurkeun bahkan tina naskah cetak. Hayu Microsoft!
Salaku tés, kuring nyiptakeun naskah jauh saderhana anu ngaluncurkeun cangkang sareng nyitak pesen lucu, "Anjeun nembé didamel naskah!" Intina, pubprn instantiates objék scriptlet, sahingga kode VBScript ngajalankeun wrapper a. Metoda ieu nyadiakeun kaunggulan jelas ka hacker anu hoyong sneak di na nyumputkeun dina sistem Anjeun.
Dina postingan salajengna, kuring bakal ngajelaskeun kumaha skrip COM tiasa dieksploitasi ku hacker nganggo spreadsheets Excel.
Pikeun PR anjeun, tingali ti Derbycon 2016, nu ngajelaskeun persis kumaha hacker dipaké scriptlets. Sarta ogé maca ngeunaan naskah sareng sababaraha jenis moniker.
sumber: www.habr.com