บทความนี้เป็นส่วนหนึ่งของชุดมัลแวร์ไร้ไฟล์ ส่วนอื่น ๆ ทั้งหมดของซีรีส์:
การผจญภัยของ Malvari ที่เข้าใจยาก ตอนที่ XNUMX การผจญภัยของมัลแวร์ที่เข้าใจยาก ตอนที่ II: สคริปต์ VBA ที่ซ่อนอยู่ การผจญภัยของมัลแวร์ที่เข้าใจยาก ตอนที่ XNUMX: สคริปต์ VBA ที่พันกันเพื่อเสียงหัวเราะและผลกำไร การผจญภัยของมัลแวร์ที่เข้าใจยาก ตอนที่ XNUMX: ฟิลด์ DDE และเอกสาร Word การผจญภัยของมัลแวร์ที่เข้าใจยาก ตอนที่ XNUMX: สคริปต์ DDE และ COM มากยิ่งขึ้น (พวกเราอยู่ที่นี่)
ในบทความชุดนี้ เราจะสำรวจวิธีการโจมตีที่แฮกเกอร์ใช้ความพยายามเพียงเล็กน้อย ในอดีตที่ผ่านมา
การแก้ไขจะเพิ่มรายการรีจิสทรีที่ปิดใช้งาน ฟังก์ชันดีดีอี ในเวิร์ด หากคุณยังต้องการฟังก์ชันนี้ คุณสามารถคืนตัวเลือกนี้ได้โดยเปิดใช้งานความสามารถ DDE แบบเก่า
อย่างไรก็ตาม แพตช์ดั้งเดิมครอบคลุมเฉพาะ Microsoft Word เท่านั้น ช่องโหว่ DDE เหล่านี้มีอยู่ในผลิตภัณฑ์ Microsoft Office อื่นๆ ที่สามารถนำไปใช้ประโยชน์ในการโจมตีแบบไม่ต้องใช้โค้ดได้หรือไม่ แน่นอน. ตัวอย่างเช่น คุณยังสามารถค้นหาได้ใน Excel
คืนแห่งชีวิต DDE
ฉันจำได้ว่าครั้งสุดท้ายที่ฉันหยุดที่คำอธิบายของสคริปต์ COM ฉันสัญญาว่าฉันจะไปหาพวกเขาในบทความนี้ในภายหลัง
ในระหว่างนี้ เรามาดูด้านร้ายอีกด้านของ DDE ในเวอร์ชัน Excel กัน เช่นเดียวกับใน Word บางอย่าง คุณสมบัติที่ซ่อนอยู่ของ DDE ใน Excel ช่วยให้คุณสามารถรันโค้ดได้โดยไม่ต้องใช้ความพยายามมากนัก ในฐานะผู้ใช้ Word ที่เติบโตขึ้นมา ฉันคุ้นเคยกับฟิลด์ต่างๆ แต่ไม่ได้เกี่ยวกับฟังก์ชันใน DDE เลย
ฉันประหลาดใจที่รู้ว่าใน Excel ฉันสามารถเรียกเชลล์จากเซลล์ได้ดังที่แสดงด้านล่าง:
คุณรู้ไหมว่าสิ่งนี้เป็นไปได้? โดยส่วนตัวแล้วฉันไม่ทำ
ความสามารถในการเปิดใช้เชลล์ Windows นี้ได้รับความอนุเคราะห์จาก DDE คุณสามารถคิดถึงสิ่งอื่น ๆ อีกมากมาย
แอปพลิเคชันที่คุณสามารถเชื่อมต่อได้โดยใช้ฟังก์ชัน DDE ในตัวของ Excel
คุณคิดเหมือนที่ฉันคิดหรือเปล่า?
ให้คำสั่งในเซลล์ของเราเริ่มเซสชัน PowerShell จากนั้นดาวน์โหลดและดำเนินการลิงก์ - นี่
เพียงวาง PowerShell เล็กน้อยเพื่อโหลดและเรียกใช้โค้ดระยะไกลใน Excel
แต่มีข้อเสียคือ คุณต้องป้อนข้อมูลนี้ลงในเซลล์อย่างชัดเจนเพื่อให้สูตรนี้ทำงานใน Excel ได้ แฮกเกอร์สามารถรันคำสั่ง DDE นี้จากระยะไกลได้อย่างไร ความจริงก็คือเมื่อเปิดตาราง Excel Excel จะพยายามอัปเดตลิงก์ทั้งหมดใน DDE การตั้งค่าศูนย์ความเชื่อถือมีความสามารถในการปิดใช้งานสิ่งนี้มานานแล้วหรือเตือนเมื่ออัปเดตลิงก์ไปยังแหล่งข้อมูลภายนอก
แม้ว่าจะไม่มีแพตช์ล่าสุด คุณก็สามารถปิดการอัปเดตลิงก์อัตโนมัติใน DDE ได้
ไมโครซอฟต์แต่เดิมนั้นเอง
แล้วบันทึกเหตุการณ์ล่ะ?
Microsoft ยังคงละทิ้ง DDE สำหรับ MS Word และ Excel ดังนั้นในที่สุดก็ตระหนักว่า DDE เป็นเหมือนจุดบกพร่องมากกว่าฟังก์ชันการทำงาน หากคุณยังไม่ได้ติดตั้งโปรแกรมแก้ไขเหล่านี้ด้วยเหตุผลบางประการ คุณยังคงสามารถลดความเสี่ยงของการโจมตี DDE ได้โดยการปิดใช้งานการอัปเดตลิงก์อัตโนมัติ และเปิดใช้งานการตั้งค่าที่แจ้งให้ผู้ใช้อัปเดตลิงก์เมื่อเปิดเอกสารและสเปรดชีต
คำถามล้านดอลลาร์: หากคุณตกเป็นเหยื่อของการโจมตีครั้งนี้ เซสชัน PowerShell ที่เปิดใช้งานจากฟิลด์ Word หรือเซลล์ Excel จะปรากฏในบันทึกหรือไม่
คำถาม: เซสชัน PowerShell เปิดตัวผ่าน DDE มีการบันทึกหรือไม่ คำตอบ: ใช่
เมื่อคุณเรียกใช้เซสชัน PowerShell โดยตรงจากเซลล์ Excel แทนที่จะเป็นมาโคร Windows จะบันทึกเหตุการณ์เหล่านี้ (ดูด้านบน) ในเวลาเดียวกัน ฉันไม่สามารถอ้างได้ว่ามันจะเป็นเรื่องง่ายสำหรับทีมรักษาความปลอดภัยในการเชื่อมต่อจุดทั้งหมดระหว่างเซสชัน PowerShell เอกสาร Excel และข้อความอีเมล และทำความเข้าใจว่าการโจมตีเริ่มต้นที่ใด ฉันจะกลับมาที่บทความล่าสุดในซีรีส์ที่ไม่มีวันจบของฉันเกี่ยวกับมัลแวร์ที่เข้าใจยาก
COM ของเราเป็นยังไงบ้าง?
ในคราวที่แล้ว
ปรากฎว่ามีคนหนึ่งฉลาดมาก
บูม! อีกวิธีหนึ่งที่ซ่อนเร้นและเงียบในการเปิดใช้เชลล์โดยใช้สคริปต์เล็ต COM
หลังจากการตรวจสอบโค้ดระดับต่ำแล้ว ผู้วิจัยก็พบว่าจริงๆ แล้วคืออะไร จุดบกพร่อง ในซอฟต์แวร์แพ็คเกจ ไม่ได้ตั้งใจจะเรียกใช้สคริปต์เล็ต COM แต่เพื่อลิงก์ไปยังไฟล์เท่านั้น ฉันไม่แน่ใจว่ามีแพตช์สำหรับช่องโหว่นี้อยู่แล้วหรือไม่ ในการศึกษาของฉันเองโดยใช้ Amazon WorkSpaces ที่ติดตั้ง Office 2010 ไว้ล่วงหน้า ฉันสามารถจำลองผลลัพธ์ได้ อย่างไรก็ตาม เมื่อฉันลองอีกครั้งในภายหลัง มันก็ไม่ได้ผล
ฉันหวังเป็นอย่างยิ่งว่าจะได้บอกคุณถึงสิ่งที่น่าสนใจมากมาย และในขณะเดียวกันก็แสดงให้เห็นว่าแฮกเกอร์สามารถเจาะบริษัทของคุณด้วยวิธีใดวิธีหนึ่งที่คล้ายคลึงกัน แม้ว่าคุณจะติดตั้งแพตช์ Microsoft ล่าสุดทั้งหมดแล้ว แฮกเกอร์ก็ยังมีเครื่องมือมากมายที่จะเข้ามาตั้งหลักในระบบของคุณ ตั้งแต่มาโคร VBA ที่ฉันเริ่มซีรีส์นี้ไปจนถึงเพย์โหลดที่เป็นอันตรายใน Word หรือ Excel
ในบทความสุดท้าย (ฉันสัญญา) ในตำนานนี้ ฉันจะพูดถึงวิธีให้การป้องกันที่ชาญฉลาด
ที่มา: will.com