Makala haya ni sehemu ya mfululizo wa Fileless Malware. Sehemu zingine zote za safu:
- (tuko hapa)
Katika mfululizo huu wa makala, tunachunguza mbinu za kushambulia ambazo zinahitaji juhudi kidogo kutoka kwa wadukuzi. Zamani Tumeshughulikia kwamba inawezekana kuingiza msimbo yenyewe kwenye upakiaji wa sehemu otomatiki ya DDE katika Microsoft Word. Kwa kufungua hati kama hiyo iliyoambatishwa kwa barua pepe ya ulaghai, mtumiaji asiye na tahadhari atamruhusu mshambulizi kupata nafasi kwenye kompyuta yake. Walakini, mwishoni mwa 2017, Microsoft mwanya huu wa mashambulizi ya DDE.
Marekebisho yanaongeza ingizo la Usajili ambalo huzima Vipengele vya DDE katika Neno. Ikiwa bado unahitaji utendakazi huu, basi unaweza kurudisha chaguo hili kwa kuwezesha uwezo wa zamani wa DDE.
Walakini, kiraka asili kilifunika tu Microsoft Word. Je, udhaifu huu wa DDE upo katika bidhaa zingine za Microsoft Office ambazo zinaweza pia kutumiwa katika mashambulizi ya bila msimbo? Ndiyo, hakika. Kwa mfano, unaweza pia kupata yao katika Excel.
Usiku wa DDE Hai
Nakumbuka kwamba mara ya mwisho nilisimama kwa maelezo ya maandishi ya COM. Ninaahidi kwamba nitawafikia baadaye katika makala hii.
Wakati huo huo, hebu tuangalie upande mwingine mbaya wa DDE katika toleo la Excel. Kama tu katika Neno, wengine vipengele vilivyofichwa vya DDE katika Excel hukuruhusu kutekeleza nambari bila juhudi nyingi. Kama mtumiaji wa Neno ambaye nilikua, nilifahamu nyuga, lakini sivyo kabisa kuhusu utendakazi katika DDE.
Nilishangaa kujua kwamba katika Excel naweza kupiga ganda kutoka kwa seli kama inavyoonyeshwa hapa chini:
Je, unajua kwamba hili linawezekana? Binafsi, sifanyi
Uwezo huu wa kuzindua ganda la Windows ni kwa hisani ya DDE. Unaweza kufikiria mambo mengine mengi
Programu ambazo unaweza kuunganisha kwa kutumia vitendaji vya DDE vilivyojengewa ndani vya Excel.
Je, unawaza sawa na ninawaza?
Acha amri yetu ya ndani ya seli ianzishe kipindi cha PowerShell kisha kupakua na kutekeleza kiungo - hiki , ambayo tayari tumetumia hapo awali. Tazama hapa chini:
Bandika tu PowerShell kidogo ili kupakia na kuendesha msimbo wa mbali katika Excel
Lakini kuna mtego: lazima uweke data hii kwa uwazi kwenye seli ili fomula hii ifanye kazi katika Excel. Je, mdukuzi anawezaje kutekeleza amri hii ya DDE kwa mbali? Ukweli ni kwamba wakati meza ya Excel imefunguliwa, Excel itajaribu kusasisha viungo vyote katika DDE. Mipangilio ya Kituo cha Uaminifu imekuwa na uwezo wa kuzima hii au kuonya kwa muda mrefu wakati wa kusasisha viungo vya vyanzo vya nje vya data.
Hata bila viraka vya hivi karibuni, unaweza kulemaza usasishaji wa kiungo kiotomatiki katika DDE
Microsoft asili yenyewe Kampuni katika 2017 zinapaswa kuzima masasisho ya viungo kiotomatiki ili kuzuia udhaifu wa DDE katika Word na Excel. Mnamo Januari 2018, Microsoft ilitoa viraka vya Excel 2007, 2010 na 2013 ambavyo vinalemaza DDE kwa chaguo-msingi. Hii Computerworld inaelezea maelezo yote ya kiraka.
Vipi kuhusu kumbukumbu za matukio?
Microsoft hata hivyo iliacha DDE kwa MS Word na Excel, na hivyo hatimaye kutambua kwamba DDE ni kama mdudu zaidi kuliko utendakazi. Iwapo kwa sababu fulani bado hujasakinisha viraka hivi, bado unaweza kupunguza hatari ya kushambuliwa kwa DDE kwa kuzima masasisho ya viungo otomatiki na kuwezesha mipangilio ambayo huwashawishi watumiaji kusasisha viungo wanapofungua hati na lahajedwali.
Sasa swali la dola milioni: Ikiwa wewe ni mwathirika wa shambulio hili, je, vipindi vya PowerShell vilivyozinduliwa kutoka kwa sehemu za Word au seli za Excel vitaonekana kwenye kumbukumbu?
Swali: Je, vipindi vya PowerShell vinazinduliwa kupitia DDE vimeingia? Jibu: ndiyo
Unapoendesha vipindi vya PowerShell moja kwa moja kutoka kwa seli ya Excel badala ya kama jumla, Windows itaweka kumbukumbu za matukio haya (tazama hapo juu). Wakati huo huo, siwezi kudai kwamba itakuwa rahisi kwa timu ya usalama kisha kuunganisha dots zote kati ya kipindi cha PowerShell, hati ya Excel na ujumbe wa barua pepe na kuelewa ambapo mashambulizi yalianza. Nitarejea kwa hili katika makala ya mwisho katika mfululizo wangu usioisha juu ya programu hasidi isiyo na kikomo.
COM yetu ikoje?
Katika uliopita Niligusia mada ya maandishi ya COM. Wao ni rahisi kwao wenyewe. , ambayo hukuruhusu kupitisha nambari, sema JScript, kama kitu cha COM. Lakini basi maandishi yaligunduliwa na wadukuzi, na hii iliwawezesha kupata nafasi kwenye kompyuta ya mwathirika bila kutumia zana zisizohitajika. Hii kutoka Derbycon huonyesha zana za Windows zilizojengewa ndani kama vile regsrv32 na rundll32 ambazo zinakubali hati za mbali kama hoja, na wavamizi kimsingi hufanya mashambulizi yao bila usaidizi wa programu hasidi. Kama nilivyoonyesha mara ya mwisho, unaweza kuendesha amri za PowerShell kwa urahisi kwa kutumia maandishi ya JScript.
Ikawa mtu ana akili sana nilipata njia ya kuendesha hati ya COM Π² Hati ya Excel. Aligundua kwamba alipojaribu kuingiza kiungo cha hati au picha kwenye seli, kifurushi fulani kiliingizwa humo. Na kifurushi hiki kinakubali kimya kimya maandishi ya mbali kama pembejeo (tazama hapa chini).
Boom! Njia nyingine ya siri, kimya ya kuzindua ganda kwa kutumia maandishi ya COM
Baada ya ukaguzi wa kiwango cha chini wa nambari, mtafiti aligundua ni nini hasa mdudu katika programu ya kifurushi. Haikukusudiwa kuendesha hati za COM, lakini tu kuunganisha kwa faili. Sina hakika kama tayari kuna kiraka cha athari hii. Katika somo langu mwenyewe kwa kutumia Nafasi za Kazi za Amazon na Ofisi ya 2010 iliyosanikishwa mapema, niliweza kuiga matokeo. Walakini, nilipojaribu tena baadaye kidogo, haikufanya kazi.
Ninatumai sana kuwa nilikuambia mambo mengi ya kupendeza na wakati huo huo nilionyesha kuwa watapeli wanaweza kupenya kampuni yako kwa njia moja au nyingine sawa. Hata ukisakinisha viraka vyote vya hivi punde vya Microsoft, wavamizi bado wana zana nyingi za kupata msingi katika mfumo wako, kutoka kwa VBA macros niliyoanzisha mfululizo huu hadi upakiaji hasidi katika Word au Excel.
Katika makala ya mwisho (naahidi) katika sakata hii, nitazungumzia jinsi ya kutoa ulinzi mahiri.
Chanzo: mapenzi.com