Den här artikeln är en del av Fileless Malware-serien. Alla andra delar av serien:
- (vi är här)
I den här artikelserien utforskar vi attackmetoder som kräver minimal ansträngning från hackares sida. Förr Vi har tagit upp att det är möjligt att klistra in själva koden i DDE-autofältets nyttolast i Microsoft Word. Genom att öppna ett sådant dokument bifogat till ett nätfiske-e-postmeddelande kommer en oförsiktig användare att tillåta angriparen att få fotfäste på sin dator. Men i slutet av 2017, Microsoft detta kryphål för attacker på DDE.
Korrigeringen lägger till en registerpost som inaktiverar DDE-funktioner i ord. Om du fortfarande behöver den här funktionen kan du returnera det här alternativet genom att aktivera de gamla DDE-funktionerna.
Den ursprungliga patchen täckte dock bara Microsoft Word. Finns dessa DDE-sårbarheter i andra Microsoft Office-produkter som också kan utnyttjas i no-code attacker? Ja visst. Du kan till exempel även hitta dem i Excel.
Night of the Living DDE
Jag minns att jag senast stannade vid beskrivningen av COM-scriptlets. Jag lovar att jag kommer till dem senare i den här artikeln.
Under tiden, låt oss titta på en annan ond sida av DDE i Excel-versionen. Precis som i Word, vissa dolda funktioner i DDE i Excel låter dig exekvera kod utan större ansträngning. Som Word-användare som växte upp var jag bekant med fälten, men inte alls om funktionerna i DDE.
Jag blev förvånad över att lära mig att i Excel kan jag anropa ett skal från en cell som visas nedan:
Visste du att detta var möjligt? Personligen gör jag inte det
Denna möjlighet att starta ett Windows-skal är med tillstånd av DDE. Du kan tänka på många andra saker
Applikationer som du kan ansluta till med hjälp av Excels inbyggda DDE-funktioner.
Tänker du samma sak som jag?
Låt vårt in-cell-kommando starta en PowerShell-session som sedan laddar ner och kör länken - detta , som vi redan har använt tidigare. Se nedan:
Klistra bara in lite PowerShell för att ladda och köra fjärrkod i Excel
Men det finns en hake: du måste uttryckligen ange dessa data i cellen för att den här formeln ska fungera i Excel. Hur kan en hackare köra detta DDE-kommando på distans? Faktum är att när en Excel-tabell är öppen kommer Excel att försöka uppdatera alla länkar i DDE. Trust Center-inställningarna har länge haft möjlighet att inaktivera detta eller varna vid uppdatering av länkar till externa datakällor.
Även utan de senaste patcharna kan du inaktivera automatisk länkuppdatering i DDE
Microsoft ursprungligen sig själv Företag bör under 2017 inaktivera automatiska länkuppdateringar för att förhindra DDE-sårbarheter i Word och Excel. I januari 2018 släppte Microsoft patchar för Excel 2007, 2010 och 2013 som inaktiverar DDE som standard. Detta Computerworld beskriver alla detaljer i patchen.
Hur är det med händelseloggar?
Microsoft övergav ändå DDE för MS Word och Excel och insåg därmed till slut att DDE är mer som en bugg än funktionalitet. Om du av någon anledning inte har installerat dessa patchar ännu kan du fortfarande minska risken för en DDE-attack genom att inaktivera automatiska länkuppdateringar och aktivera inställningar som uppmanar användare att uppdatera länkar när de öppnar dokument och kalkylblad.
Nu är frågan om miljoner dollar: Om du är ett offer för denna attack, kommer PowerShell-sessioner som startas från Word-fält eller Excel-celler att dyka upp i loggen?
Fråga: Loggas PowerShell-sessioner via DDE? Svar: ja
När du kör PowerShell-sessioner direkt från en Excel-cell istället för som ett makro loggar Windows dessa händelser (se ovan). Samtidigt kan jag inte påstå att det blir lätt för säkerhetsteamet att sedan koppla alla punkter mellan PowerShell-sessionen, Excel-dokumentet och e-postmeddelandet och förstå var attacken började. Jag kommer tillbaka till detta i den sista artikeln i min oändliga serie om den svårfångade skadliga programvaran.
Hur är vår COM?
I det föregående Jag berörde ämnet COM-scriptlets. De är bekväma i sig. , som låter dig skicka kod, säg JScript, helt enkelt som ett COM-objekt. Men sedan upptäcktes scriptlets av hackare, och detta gjorde det möjligt för dem att få fotfäste på offrets dator utan att använda onödiga verktyg. Detta från Derbycon visar inbyggda Windows-verktyg som regsrv32 och rundll32 som accepterar fjärrskript som argument, och hackare utför i princip sina attacker utan hjälp av skadlig kod. Som jag visade förra gången kan du enkelt köra PowerShell-kommandon med ett JScript-skript.
Det visade sig att man är väldigt smart hittat ett sätt att köra ett COM-skript в Excel-dokument. Han upptäckte att när han försökte infoga en länk till ett dokument eller en bild i en cell så infogades ett visst paket i den. Och detta paket accepterar tyst ett fjärrskript som indata (se nedan).
Bom! En annan smygande, tyst metod för att starta ett skal med COM-skript
Efter en kodinspektion på låg nivå fick forskaren reda på vad det egentligen är insekt i paketets programvara. Det var inte avsett att köra COM-skript, utan bara för att länka till filer. Jag är inte säker på om det redan finns en patch för denna sårbarhet. I min egen studie med Amazon WorkSpaces med Office 2010 förinstallerat kunde jag replikera resultaten. Men när jag försökte igen lite senare så fungerade det inte.
Jag hoppas verkligen att jag berättade mycket intressant och samtidigt visade att hackare kan penetrera ditt företag på ett eller annat liknande sätt. Även om du installerar alla de senaste Microsoft-patcharna har hackare fortfarande många verktyg för att få fotfäste i ditt system, från VBA-makron jag startade den här serien med till skadliga nyttolaster i Word eller Excel.
I den sista (jag lovar) artikeln i denna saga kommer jag att prata om hur man ger smart skydd.
Källa: will.com