Tulisan ieu mangrupikeun bagian tina séri Fileless Malware. Sadaya bagian séjén séri:
- (urang di dieu)
Dina runtuyan artikel ieu, urang neuleuman métode serangan nu merlukeun usaha minimal dina bagian tina hacker. Di tempo anu kalangkung Kami parantos nutupan yén éta mungkin pikeun nyelapkeun kodeu sorangan kana payload autofield DDE dina Microsoft Word. Ku muka dokumén sapertos anu napel kana email phishing, pangguna anu teu waspada bakal ngijinkeun panyerang pikeun meunangkeun pijakan dina komputerna. Nanging, dina ahir 2017, Microsoft loophole ieu pikeun serangan on DDE.
Perbaikan nambihkeun éntri pendaptaran anu nganonaktipkeun fungsi DDE dina Kecap. Upami anjeun masih peryogi fungsionalitas ieu, anjeun tiasa ngabalikeun pilihan ieu ku cara ngaktipkeun kamampuan DDE anu lami.
Nanging, patch aslina ngan ukur nutupan Microsoft Word. Naha kerentanan DDE ieu aya dina produk Microsoft Office sanés anu ogé tiasa dieksploitasi dina serangan tanpa kode? Sumuhun, pasti. Salaku conto, anjeun ogé tiasa mendakanana dina Excel.
Peuting tina Hirup DDE
Abdi émut yén terakhir waktos kuring lirén dina pedaran naskah COM. Kuring janji yén kuring bakal meunang ka aranjeunna engké dina artikel ieu.
Samentawis éta, hayu urang tingali sisi jahat DDE anu sanés dina versi Excel. Kawas dina Word, sababaraha fitur disumputkeun tina DDE di Excel ngidinan Anjeun pikeun ngaéksekusi kode tanpa loba usaha . Salaku pamaké Word anu tumuwuh nepi, kuring wawuh jeung widang, tapi teu pisan ngeunaan fungsi dina DDE.
Kuring kaget diajar yén dina Excel kuring tiasa nyauran cangkang tina sél sapertos anu dipidangkeun di handap ieu:
Naha anjeun terang yén ieu mungkin? Pribadi, kuring henteu
Kamampuhan ieu pikeun ngaluncurkeun cangkang Windows mangrupikeun kahadean DDE. Anjeun tiasa mikir loba hal séjén
Aplikasi anu anjeun tiasa sambungkeun nganggo fungsi DDE anu diwangun dina Excel.
Naha anjeun mikiran hal anu sami anu kuring pikirkeun?
Hayu paréntah di-sél urang ngamimitian sési PowerShell anu teras diunduh sareng ngaéksekusi tautan - ieu , anu kami parantos dianggo sateuacanna. Tingali kahandap:
Ngan nempelkeun PowerShell saeutik pikeun muka tur ngajalankeun kode jauh di Excel
Tapi aya anu nyekel: anjeun kedah sacara eksplisit ngalebetkeun data ieu kana sél pikeun rumus ieu tiasa dianggo dina Excel. Kumaha hacker tiasa ngaéksekusi paréntah DDE ieu jarak jauh? Kanyataanna nyaéta nalika méja Excel dibuka, Excel bakal nyobian ngapdet sadaya tautan dina DDE. Setélan Trust Center parantos lami gaduh kamampuan pikeun nganonaktipkeun ieu atanapi ngingetkeun nalika ngapdet tautan ka sumber data éksternal.
Malah tanpa patch panganyarna, anjeun tiasa nganonaktipkeun apdet link otomatis dina DDE
Microsoft asalna sorangan Perusahaan di 2017 kedah nganonaktipkeun apdet link otomatis pikeun nyegah kerentanan DDE dina Word sareng Excel. Dina Januari 2018, Microsoft ngaluarkeun patch pikeun Excel 2007, 2010 sareng 2013 anu nganonaktipkeun DDE sacara standar. Ieu Computerworld ngajelaskeun sagala rinci ngeunaan patch.
Nya, kumaha upami log acara?
Microsoft tetep ngantunkeun DDE pikeun MS Word sareng Excel, ku kituna tungtungna ngakuan yén DDE langkung mirip bug tibatan fungsionalitas. Upami kusabab sababaraha alesan anjeun teu acan masang patch ieu, anjeun masih tiasa ngirangan résiko serangan DDE ku cara nganonaktipkeun apdet link otomatis sareng ngaktipkeun setélan anu ngadorong pangguna pikeun ngapdet tautan nalika muka dokumén sareng spreadsheet.
Ayeuna patarosan jutaan dolar: Upami anjeun korban serangan ieu, bakal sesi PowerShell diluncurkeun tina widang Word atanapi sél Excel bakal muncul dina log?
Patarosan: Naha sesi PowerShell diluncurkeun via DDE asup? Ngajawab: enya
Nalika anjeun ngajalankeun sesi PowerShell langsung tina sél Excel tinimbang salaku makro, Windows bakal asup kana kajadian ieu (tingali di luhur). Dina waktos anu sami, kuring henteu tiasa ngaku yén éta bakal gampang pikeun tim kaamanan teras nyambungkeun sadaya titik antara sési PowerShell, dokumen Excel sareng pesen email sareng ngartos dimana serangan éta dimimitian. Kuring bakal uih deui kana ieu dina tulisan terakhir dina séri kuring anu teu aya tungtungna ngeunaan malware anu hese dihartikeun.
Kumaha COM urang?
Dina saméméhna Kuring keuna kana topik naskah COM. Aranjeunna merenah dina diri. , nu ngidinan Anjeun pikeun lulus kode, nyebutkeun JScript, saukur salaku objek COM. Tapi saterusna naskah kapanggih ku hacker, sarta ieu ngamungkinkeun aranjeunna pikeun meunangkeun foothold dina komputer korban tanpa pamakéan alat-alat nu teu perlu. Ieu ti Derbycon nunjukkeun alat Windows anu diwangun sapertos regsrv32 sareng rundll32 anu nampi naskah jauh salaku argumen, sareng peretas dasarna ngalaksanakeun seranganna tanpa bantuan malware. Salaku I némbongkeun panungtungan waktu, anjeun bisa kalayan gampang ngajalankeun PowerShell paréntah maké scriptlet JScript.
Tétéla nu hiji pisan pinter kapanggih cara pikeun ngajalankeun COM scriptlet в Dokumén Excel. Anjeunna mendakan yén nalika anjeunna nyobian nyelapkeun tautan kana dokumén atanapi gambar kana sél, bungkusan anu tangtu diselapkeun kana éta. Jeung pakét ieu quietly narima scriptlet jauh salaku input (tempo di handap).
Boom! Métode siluman anu sanés pikeun ngaluncurkeun cangkang nganggo skrip COM
Sanggeus inspeksi kode-tingkat low, panalungtik manggihan naon sabenerna bug dina software pakét. Ieu teu dimaksudkeun pikeun ngajalankeun scriptlets COM, tapi ngan pikeun numbu ka file. Kaula teu yakin lamun geus aya patch pikeun kerentanan ieu. Dina ulikan kuring sorangan ngagunakeun Amazon WorkSpaces kalawan Office 2010 tos dipasang, abdi tiasa ngayakeun réplikasi hasilna. Nanging, nalika kuring nyobian deui sakedik engké, éta henteu hasil.
Abdi ngarep pisan yén kuring nyarioskeun ka anjeun seueur hal anu pikaresepeun sareng dina waktos anu sami nunjukkeun yén peretas tiasa nembus perusahaan anjeun dina hiji atanapi cara anu sami. Malah lamun masang sagala patch Microsoft panganyarna, hacker masih boga loba parabot pikeun meunangkeun foothold dina sistem Anjeun, ti macros VBA I dimimitian runtuyan ieu kalawan payloads jahat dina Word atanapi Excel.
Dina ahir (kuring jangji) artikel dina saga ieu, kuring bakal ngobrol ngeunaan kumaha carana nyadiakeun panyalindungan pinter.
sumber: www.habr.com