บทความนี้เป็นส่วนหนึ่งของชุดมัลแวร์ไร้ไฟล์ ส่วนอื่น ๆ ทั้งหมดของซีรีส์:
- (พวกเราอยู่ที่นี่)
ในบทความชุดนี้ เราจะสำรวจวิธีการโจมตีที่แฮกเกอร์ใช้ความพยายามเพียงเล็กน้อย ในอดีตที่ผ่านมา เราได้กล่าวถึงแล้วว่ามีความเป็นไปได้ที่จะแทรกโค้ดลงในเพย์โหลดฟิลด์อัตโนมัติของ DDE ใน Microsoft Word เมื่อเปิดเอกสารที่แนบมากับอีเมลฟิชชิ่ง ผู้ใช้ที่ไม่ระวังจะยอมให้ผู้โจมตีเข้ามาตั้งหลักในคอมพิวเตอร์ของเขาได้ อย่างไรก็ตาม ณ สิ้นปี 2017 ไมโครซอฟต์ ช่องโหว่สำหรับการโจมตี DDE นี้
การแก้ไขจะเพิ่มรายการรีจิสทรีที่ปิดใช้งาน ฟังก์ชันดีดีอี ในเวิร์ด หากคุณยังต้องการฟังก์ชันนี้ คุณสามารถคืนตัวเลือกนี้ได้โดยเปิดใช้งานความสามารถ DDE แบบเก่า
อย่างไรก็ตาม แพตช์ดั้งเดิมครอบคลุมเฉพาะ Microsoft Word เท่านั้น ช่องโหว่ DDE เหล่านี้มีอยู่ในผลิตภัณฑ์ Microsoft Office อื่นๆ ที่สามารถนำไปใช้ประโยชน์ในการโจมตีแบบไม่ต้องใช้โค้ดได้หรือไม่ แน่นอน. ตัวอย่างเช่น คุณยังสามารถค้นหาได้ใน Excel
คืนแห่งชีวิต DDE
ฉันจำได้ว่าครั้งสุดท้ายที่ฉันหยุดที่คำอธิบายของสคริปต์ COM ฉันสัญญาว่าฉันจะไปหาพวกเขาในบทความนี้ในภายหลัง
ในระหว่างนี้ เรามาดูด้านร้ายอีกด้านของ DDE ในเวอร์ชัน Excel กัน เช่นเดียวกับใน Word บางอย่าง คุณสมบัติที่ซ่อนอยู่ของ DDE ใน Excel ช่วยให้คุณสามารถรันโค้ดได้โดยไม่ต้องใช้ความพยายามมากนัก ในฐานะผู้ใช้ Word ที่เติบโตขึ้นมา ฉันคุ้นเคยกับฟิลด์ต่างๆ แต่ไม่ได้เกี่ยวกับฟังก์ชันใน DDE เลย
ฉันประหลาดใจที่รู้ว่าใน Excel ฉันสามารถเรียกเชลล์จากเซลล์ได้ดังที่แสดงด้านล่าง:
คุณรู้ไหมว่าสิ่งนี้เป็นไปได้? โดยส่วนตัวแล้วฉันไม่ทำ
ความสามารถในการเปิดใช้เชลล์ Windows นี้ได้รับความอนุเคราะห์จาก DDE คุณสามารถคิดถึงสิ่งอื่น ๆ อีกมากมาย
แอปพลิเคชันที่คุณสามารถเชื่อมต่อได้โดยใช้ฟังก์ชัน DDE ในตัวของ Excel
คุณคิดเหมือนที่ฉันคิดหรือเปล่า?
ให้คำสั่งในเซลล์ของเราเริ่มเซสชัน PowerShell จากนั้นดาวน์โหลดและดำเนินการลิงก์ - นี่ ที่เราเคยใช้มาก่อนแล้ว ดูด้านล่าง:
เพียงวาง PowerShell เล็กน้อยเพื่อโหลดและเรียกใช้โค้ดระยะไกลใน Excel
แต่มีข้อเสียคือ คุณต้องป้อนข้อมูลนี้ลงในเซลล์อย่างชัดเจนเพื่อให้สูตรนี้ทำงานใน Excel ได้ แฮกเกอร์สามารถรันคำสั่ง DDE นี้จากระยะไกลได้อย่างไร ความจริงก็คือเมื่อเปิดตาราง Excel Excel จะพยายามอัปเดตลิงก์ทั้งหมดใน DDE การตั้งค่าศูนย์ความเชื่อถือมีความสามารถในการปิดใช้งานสิ่งนี้มานานแล้วหรือเตือนเมื่ออัปเดตลิงก์ไปยังแหล่งข้อมูลภายนอก
แม้ว่าจะไม่มีแพตช์ล่าสุด คุณก็สามารถปิดการอัปเดตลิงก์อัตโนมัติใน DDE ได้
ไมโครซอฟต์แต่เดิมนั้นเอง บริษัทในปี 2017 ควรปิดใช้งานการอัปเดตลิงก์อัตโนมัติเพื่อป้องกันช่องโหว่ DDE ใน Word และ Excel ในเดือนมกราคม 2018 Microsoft ได้เปิดตัวแพตช์สำหรับ Excel 2007, 2010 และ 2013 ที่ปิดใช้งาน DDE ตามค่าเริ่มต้น นี้ Computerworld อธิบายรายละเอียดทั้งหมดของแพทช์
แล้วบันทึกเหตุการณ์ล่ะ?
Microsoft ยังคงละทิ้ง DDE สำหรับ MS Word และ Excel ดังนั้นในที่สุดก็ตระหนักว่า DDE เป็นเหมือนจุดบกพร่องมากกว่าฟังก์ชันการทำงาน หากคุณยังไม่ได้ติดตั้งโปรแกรมแก้ไขเหล่านี้ด้วยเหตุผลบางประการ คุณยังคงสามารถลดความเสี่ยงของการโจมตี DDE ได้โดยการปิดใช้งานการอัปเดตลิงก์อัตโนมัติ และเปิดใช้งานการตั้งค่าที่แจ้งให้ผู้ใช้อัปเดตลิงก์เมื่อเปิดเอกสารและสเปรดชีต
คำถามล้านดอลลาร์: หากคุณตกเป็นเหยื่อของการโจมตีครั้งนี้ เซสชัน PowerShell ที่เปิดใช้งานจากฟิลด์ Word หรือเซลล์ Excel จะปรากฏในบันทึกหรือไม่
คำถาม: เซสชัน PowerShell เปิดตัวผ่าน DDE มีการบันทึกหรือไม่ คำตอบ: ใช่
เมื่อคุณเรียกใช้เซสชัน PowerShell โดยตรงจากเซลล์ Excel แทนที่จะเป็นมาโคร Windows จะบันทึกเหตุการณ์เหล่านี้ (ดูด้านบน) ในเวลาเดียวกัน ฉันไม่สามารถอ้างได้ว่ามันจะเป็นเรื่องง่ายสำหรับทีมรักษาความปลอดภัยในการเชื่อมต่อจุดทั้งหมดระหว่างเซสชัน PowerShell เอกสาร Excel และข้อความอีเมล และทำความเข้าใจว่าการโจมตีเริ่มต้นที่ใด ฉันจะกลับมาที่บทความล่าสุดในซีรีส์ที่ไม่มีวันจบของฉันเกี่ยวกับมัลแวร์ที่เข้าใจยาก
COM ของเราเป็นยังไงบ้าง?
ในคราวที่แล้ว ฉันได้สัมผัสหัวข้อ COM scriptlets แล้ว พวกเขาสะดวกในตัวเอง ซึ่งอนุญาตให้คุณส่งโค้ด เช่น JScript เหมือนกับวัตถุ COM แต่แล้วสคริปต์เล็ตก็ถูกค้นพบโดยแฮกเกอร์ และสิ่งนี้ทำให้พวกเขาสามารถตั้งหลักบนคอมพิวเตอร์ของเหยื่อได้โดยไม่ต้องใช้เครื่องมือที่ไม่จำเป็น นี้ จาก Derbycon สาธิตเครื่องมือ Windows ในตัว เช่น regsrv32 และ rundll32 ที่ยอมรับสคริปต์เล็ตระยะไกลเป็นอาร์กิวเมนต์ และแฮกเกอร์ก็ทำการโจมตีโดยไม่ได้รับความช่วยเหลือจากมัลแวร์ อย่างที่ฉันแสดงไปครั้งล่าสุด คุณสามารถรันคำสั่ง PowerShell ได้อย่างง่ายดายโดยใช้สคริปต์เล็ต JScript
ปรากฎว่ามีคนหนึ่งฉลาดมาก พบวิธีเรียกใช้สคริปต์เล็ต COM в เอกสารเอ็กเซล. เขาค้นพบว่าเมื่อเขาพยายามแทรกลิงก์ไปยังเอกสารหรือรูปภาพลงในเซลล์ มีการแทรกแพ็คเกจบางอย่างเข้าไปในนั้น และแพ็คเกจนี้ยอมรับสคริปต์เล็ตระยะไกลเป็นอินพุตอย่างเงียบ ๆ (ดูด้านล่าง)
บูม! อีกวิธีหนึ่งที่ซ่อนเร้นและเงียบในการเปิดใช้เชลล์โดยใช้สคริปต์เล็ต COM
หลังจากการตรวจสอบโค้ดระดับต่ำแล้ว ผู้วิจัยก็พบว่าจริงๆ แล้วคืออะไร จุดบกพร่อง ในซอฟต์แวร์แพ็คเกจ ไม่ได้ตั้งใจจะเรียกใช้สคริปต์เล็ต COM แต่เพื่อลิงก์ไปยังไฟล์เท่านั้น ฉันไม่แน่ใจว่ามีแพตช์สำหรับช่องโหว่นี้อยู่แล้วหรือไม่ ในการศึกษาของฉันเองโดยใช้ Amazon WorkSpaces ที่ติดตั้ง Office 2010 ไว้ล่วงหน้า ฉันสามารถจำลองผลลัพธ์ได้ อย่างไรก็ตาม เมื่อฉันลองอีกครั้งในภายหลัง มันก็ไม่ได้ผล
ฉันหวังเป็นอย่างยิ่งว่าจะได้บอกคุณถึงสิ่งที่น่าสนใจมากมาย และในขณะเดียวกันก็แสดงให้เห็นว่าแฮกเกอร์สามารถเจาะบริษัทของคุณด้วยวิธีใดวิธีหนึ่งที่คล้ายคลึงกัน แม้ว่าคุณจะติดตั้งแพตช์ Microsoft ล่าสุดทั้งหมดแล้ว แฮกเกอร์ก็ยังมีเครื่องมือมากมายที่จะเข้ามาตั้งหลักในระบบของคุณ ตั้งแต่มาโคร VBA ที่ฉันเริ่มซีรีส์นี้ไปจนถึงเพย์โหลดที่เป็นอันตรายใน Word หรือ Excel
ในบทความสุดท้าย (ฉันสัญญา) ในตำนานนี้ ฉันจะพูดถึงวิธีให้การป้องกันที่ชาญฉลาด
ที่มา: will.com