இந்தக் கட்டுரை கோப்பு இல்லாத மால்வேர் தொடரின் ஒரு பகுதியாகும். தொடரின் மற்ற அனைத்து பகுதிகளும்:
- (நாங்கள் இங்கே இருக்கிறோம்)
இந்தக் கட்டுரைத் தொடரில், ஹேக்கர்களின் குறைந்தபட்ச முயற்சி தேவைப்படும் தாக்குதல் முறைகளை நாங்கள் ஆராய்வோம். கடந்த காலத்தில் மைக்ரோசாஃப்ட் வேர்டில் உள்ள DDE ஆட்டோஃபீல்ட் பேலோடில் குறியீட்டையே செருகுவது சாத்தியம் என்பதை நாங்கள் விவரித்துள்ளோம். ஃபிஷிங் மின்னஞ்சலுடன் இணைக்கப்பட்ட அத்தகைய ஆவணத்தைத் திறப்பதன் மூலம், ஒரு எச்சரிக்கையற்ற பயனர், தாக்குபவர் தனது கணினியில் கால் பதிக்க அனுமதிப்பார். இருப்பினும், 2017 இன் இறுதியில், மைக்ரோசாப்ட் DDE மீதான தாக்குதல்களுக்கான இந்த ஓட்டை.
பிழைத்திருத்தம் செயலிழக்கச் செய்யும் பதிவேட்டில் சேர்க்கிறது DDE செயல்பாடுகள் வார்த்தையில். உங்களுக்கு இன்னும் இந்த செயல்பாடு தேவைப்பட்டால், பழைய DDE திறன்களை இயக்குவதன் மூலம் இந்த விருப்பத்தை நீங்கள் திரும்பப் பெறலாம்.
இருப்பினும், அசல் பேட்ச் மைக்ரோசாஃப்ட் வேர்டை மட்டுமே உள்ளடக்கியது. இந்த DDE பாதிப்புகள் மற்ற மைக்ரோசாஃப்ட் ஆஃபீஸ் தயாரிப்புகளில் உள்ளதா, அவை குறியீடு இல்லாத தாக்குதல்களிலும் பயன்படுத்தப்படுமா? ஆம், கண்டிப்பாக. உதாரணமாக, நீங்கள் அவற்றை எக்செல் இல் காணலாம்.
வாழும் இரவு DDE
கடைசியாக நான் COM ஸ்கிரிப்ட்லெட்டுகளின் விளக்கத்தை நிறுத்தியது எனக்கு நினைவிருக்கிறது. இந்த கட்டுரையில் நான் அவர்களைப் பற்றி பின்னர் பெறுவேன் என்று உறுதியளிக்கிறேன்.
இதற்கிடையில், எக்செல் பதிப்பில் DDE இன் மற்றொரு தீய பக்கத்தைப் பார்ப்போம். வேர்டில் உள்ளதைப் போலவே, சில எக்செல் இல் DDE இன் மறைக்கப்பட்ட அம்சங்கள் அதிக முயற்சி இல்லாமல் குறியீட்டை இயக்க உங்களை அனுமதிக்கிறது. வளர்ந்த ஒரு வேர்ட் பயனராக, நான் புலங்களை நன்கு அறிந்திருந்தேன், ஆனால் DDE இல் உள்ள செயல்பாடுகளைப் பற்றி எதுவும் இல்லை.
எக்செல் இல் கீழே காட்டப்பட்டுள்ளபடி ஒரு கலத்திலிருந்து ஷெல்லை அழைக்க முடியும் என்பதை அறிந்து வியந்தேன்:
இது சாத்தியம் என்று உங்களுக்குத் தெரியுமா? தனிப்பட்ட முறையில், நான் இல்லை
ஒரு விண்டோஸ் ஷெல் தொடங்குவதற்கான இந்த திறன் DDE இன் மரியாதை. நீங்கள் இன்னும் பல விஷயங்களைப் பற்றி சிந்திக்கலாம்
Excel இன் உள்ளமைக்கப்பட்ட DDE செயல்பாடுகளைப் பயன்படுத்தி நீங்கள் இணைக்கக்கூடிய பயன்பாடுகள்.
நான் நினைப்பதையே நீங்களும் நினைக்கிறீர்களா?
எங்கள் இன்-செல் கட்டளை ஒரு பவர்ஷெல் அமர்வைத் தொடங்கட்டும், அது இணைப்பைப் பதிவிறக்கி இயக்குகிறது - இது , நாங்கள் ஏற்கனவே பயன்படுத்தியுள்ளோம். கீழே பார்:
எக்செல் இல் ரிமோட் குறியீட்டை ஏற்றி இயக்க, சிறிது பவர்ஷெல் ஒட்டவும்
ஆனால் ஒரு பிடிப்பு உள்ளது: எக்செல் இல் இந்த சூத்திரம் வேலை செய்ய நீங்கள் இந்தத் தரவை கலத்தில் வெளிப்படையாக உள்ளிட வேண்டும். இந்த DDE கட்டளையை ஒரு ஹேக்கர் எப்படி ரிமோட் மூலம் இயக்க முடியும்? உண்மை என்னவென்றால், எக்செல் அட்டவணை திறந்திருக்கும் போது, எக்செல் DDE இல் உள்ள அனைத்து இணைப்புகளையும் புதுப்பிக்க முயற்சிக்கும். நம்பகமான மைய அமைப்புகள் நீண்ட காலமாக இதை முடக்க அல்லது வெளிப்புற தரவு மூலங்களுக்கான இணைப்புகளை புதுப்பிக்கும் போது எச்சரிக்கும் திறனைக் கொண்டுள்ளன.
சமீபத்திய இணைப்புகள் இல்லாவிட்டாலும், DDE இல் தானியங்கி இணைப்பு புதுப்பிப்பை நீங்கள் முடக்கலாம்
மைக்ரோசாப்ட் முதலில் தானே வேர்ட் மற்றும் எக்செல் ஆகியவற்றில் DDE பாதிப்புகளைத் தடுக்க, 2017 இல் உள்ள நிறுவனங்கள் தானியங்கி இணைப்பு புதுப்பிப்புகளை முடக்க வேண்டும். ஜனவரி 2018 இல், மைக்ரோசாப்ட் எக்செல் 2007, 2010 மற்றும் 2013 க்கான பேட்ச்களை வெளியிட்டது, அவை இயல்பாகவே DDE ஐ முடக்குகின்றன. இது கணினி உலகம் இணைப்பு பற்றிய அனைத்து விவரங்களையும் விவரிக்கிறது.
சரி, நிகழ்வு பதிவுகள் பற்றி என்ன?
இருப்பினும் மைக்ரோசாப்ட் MS Word மற்றும் Excel க்கான DDE ஐ கைவிட்டது, இதன் மூலம் DDE என்பது செயல்பாட்டை விட ஒரு பிழை போன்றது என்பதை இறுதியாக அங்கீகரித்துள்ளது. சில காரணங்களால் நீங்கள் இன்னும் இந்த இணைப்புகளை நிறுவவில்லை என்றால், தானியங்கி இணைப்பு புதுப்பிப்புகளை முடக்குவதன் மூலமும், ஆவணங்கள் மற்றும் விரிதாள்களைத் திறக்கும்போது இணைப்புகளைப் புதுப்பிக்க பயனர்களைத் தூண்டும் அமைப்புகளை இயக்குவதன் மூலமும் நீங்கள் DDE தாக்குதலின் அபாயத்தைக் குறைக்கலாம்.
இப்போது மில்லியன் டாலர் கேள்வி: நீங்கள் இந்தத் தாக்குதலுக்கு ஆளாகியிருந்தால், Word புலங்கள் அல்லது எக்செல் செல்களில் இருந்து தொடங்கப்பட்ட PowerShell அமர்வுகள் பதிவில் காண்பிக்கப்படுமா?
கேள்வி: பவர்ஷெல் அமர்வுகள் DDE வழியாக தொடங்கப்பட்டதா? பதில்: ஆம்
பவர்ஷெல் அமர்வுகளை மேக்ரோவாக இல்லாமல் எக்செல் கலத்திலிருந்து நேரடியாக இயக்கும்போது, விண்டோஸ் இந்த நிகழ்வுகளை பதிவு செய்யும் (மேலே பார்க்கவும்). அதே நேரத்தில், பவர்ஷெல் அமர்வு, எக்செல் ஆவணம் மற்றும் மின்னஞ்சல் செய்தி ஆகியவற்றுக்கு இடையே உள்ள அனைத்து புள்ளிகளையும் இணைத்து, தாக்குதல் எங்கிருந்து தொடங்கியது என்பதைப் புரிந்துகொள்வது பாதுகாப்புக் குழுவிற்கு எளிதாக இருக்கும் என்று என்னால் கூற முடியாது. மழுப்பலான தீம்பொருளைப் பற்றிய எனது முடிவில்லாத தொடரின் கடைசிக் கட்டுரையில் இதைப் பற்றி மீண்டும் வருகிறேன்.
எங்கள் COM எப்படி இருக்கிறது?
முந்தையதில் நான் COM scriptlets என்ற தலைப்பில் தொட்டேன். அவர்கள் தங்களுக்குள் வசதியானவர்கள். , இது குறியீட்டை அனுப்ப உங்களை அனுமதிக்கிறது, JScript என்று சொல்லுங்கள், ஒரு COM பொருளாக. ஆனால் பின்னர் ஸ்கிரிப்ட்லெட்டுகள் ஹேக்கர்களால் கண்டுபிடிக்கப்பட்டன, மேலும் இது தேவையற்ற கருவிகளைப் பயன்படுத்தாமல் பாதிக்கப்பட்டவரின் கணினியில் ஒரு இடத்தைப் பெற அனுமதித்தது. இது டெர்பிகானில் இருந்து உள்ளமைக்கப்பட்ட விண்டோஸ் கருவிகளான regsrv32 மற்றும் rundll32 ஆகியவை ரிமோட் ஸ்கிரிப்ட்லெட்டுகளை வாதங்களாக ஏற்றுக்கொள்கின்றன, மேலும் ஹேக்கர்கள் முக்கியமாக தீம்பொருளின் உதவியின்றி தங்கள் தாக்குதலை நடத்துகிறார்கள். நான் கடந்த முறை காட்டியது போல், JScript ஸ்கிரிப்ட்லெட்டைப் பயன்படுத்தி பவர்ஷெல் கட்டளைகளை எளிதாக இயக்கலாம்.
ஒருவர் மிகவும் புத்திசாலி என்பது தெரியவந்தது COM ஸ்கிரிப்ட்லெட்டை இயக்குவதற்கான ஒரு வழியைக் கண்டுபிடித்தார் в எக்செல் ஆவணம். ஒரு செல்லில் ஒரு ஆவணம் அல்லது படத்திற்கான இணைப்பைச் செருக முயற்சித்தபோது, ஒரு குறிப்பிட்ட தொகுப்பு அதில் செருகப்பட்டதை அவர் கண்டுபிடித்தார். இந்த தொகுப்பு ஒரு தொலை ஸ்கிரிப்ட்லெட்டை உள்ளீடாக அமைதியாக ஏற்றுக்கொள்கிறது (கீழே காண்க).
ஏற்றம்! COM ஸ்கிரிப்ட்லெட்டுகளைப் பயன்படுத்தி ஷெல்லைத் தொடங்க மற்றொரு திருட்டுத்தனமான, அமைதியான முறை
குறைந்த அளவிலான குறியீடு ஆய்வுக்குப் பிறகு, அது உண்மையில் என்ன என்பதை ஆராய்ச்சியாளர் கண்டுபிடித்தார் பிழை தொகுப்பு மென்பொருளில். இது COM ஸ்கிரிப்ட்லெட்டுகளை இயக்குவதை நோக்கமாகக் கொண்டிருக்கவில்லை, ஆனால் கோப்புகளை இணைக்க மட்டுமே. இந்த பாதிப்புக்கு ஏற்கனவே ஒரு இணைப்பு இருக்கிறதா என்று எனக்குத் தெரியவில்லை. Office 2010 முன்பே நிறுவப்பட்ட Amazon Workspaces ஐப் பயன்படுத்தி எனது சொந்த ஆய்வில், முடிவுகளைப் பிரதிபலிக்க முடிந்தது. ஆனால், சிறிது நேரம் கழித்து மீண்டும் முயற்சித்தபோது அது பலனளிக்கவில்லை.
நான் உங்களுக்கு நிறைய சுவாரஸ்யமான விஷயங்களைச் சொன்னேன் என்று நம்புகிறேன், அதே நேரத்தில் ஹேக்கர்கள் உங்கள் நிறுவனத்தில் ஒன்று அல்லது மற்றொரு வழியில் ஊடுருவ முடியும் என்பதைக் காட்டினேன். நீங்கள் அனைத்து சமீபத்திய மைக்ரோசாஃப்ட் பேட்ச்களையும் நிறுவினாலும், உங்கள் கணினியில் காலூன்றுவதற்கு ஹேக்கர்கள் இன்னும் பல கருவிகளைக் கொண்டுள்ளனர், VBA மேக்ரோக்களில் இருந்து நான் இந்தத் தொடரைத் தொடங்கிய Word அல்லது Excel இல் தீங்கிழைக்கும் பேலோடுகள் வரை.
இந்த சரித்திரத்தின் இறுதி (நான் உறுதியளிக்கிறேன்) கட்டுரையில், ஸ்மார்ட் பாதுகாப்பை எவ்வாறு வழங்குவது என்பது பற்றி பேசுவேன்.
ஆதாரம்: www.habr.com