Ang artikulong ito ay bahagi ng serye ng Fileless Malware. Lahat ng iba pang bahagi ng serye:
- (nandito na kami)
Sa seryeng ito ng mga artikulo, tinutuklasan namin ang mga paraan ng pag-atake na nangangailangan ng kaunting pagsisikap sa bahagi ng mga hacker. Sa nakaraan Sinaklaw namin na posibleng i-paste ang mismong code sa DDE autofield payload sa Microsoft Word. Sa pamamagitan ng pagbubukas ng naturang dokumento na naka-attach sa isang phishing email, ang isang hindi maingat na user ay magbibigay-daan sa umaatake na magkaroon ng foothold sa kanyang computer. Gayunpaman, sa pagtatapos ng 2017, ang Microsoft ang butas na ito para sa mga pag-atake sa DDE.
Ang pag-aayos ay nagdaragdag ng isang registry entry na hindi pinapagana Mga function ng DDE sa Salita. Kung kailangan mo pa rin ang pagpapaandar na ito, maaari mong ibalik ang opsyong ito sa pamamagitan ng pagpapagana sa mga lumang kakayahan ng DDE.
Gayunpaman, sakop lamang ng orihinal na patch ang Microsoft Word. Umiiral ba ang mga kahinaang ito ng DDE sa iba pang mga produkto ng Microsoft Office na maaari ding pagsamantalahan sa mga pag-atake na walang code? Oo ba. Halimbawa, mahahanap mo rin sila sa Excel.
Gabi ng Buhay DDE
Naalala ko noong huling beses na tumigil ako sa paglalarawan ng mga scriptlet ng COM. Ipinapangako ko na makakarating ako sa kanila mamaya sa artikulong ito.
Pansamantala, tingnan natin ang isa pang masamang bahagi ng DDE sa bersyon ng Excel. Tulad ng sa Word, ang ilan nakatagong mga tampok ng DDE sa Excel pinapayagan kang magsagawa ng code nang walang labis na pagsisikap. Bilang isang gumagamit ng Word na lumaki, pamilyar ako sa mga field, ngunit hindi tungkol sa mga function sa DDE.
Ako ay namangha nang malaman na sa Excel maaari akong tumawag ng isang shell mula sa isang cell tulad ng ipinapakita sa ibaba:
Alam mo ba na posible ito? Sa personal, ayoko
Ang kakayahang maglunsad ng isang shell ng Windows ay kagandahang-loob ng DDE. Maaari kang mag-isip ng maraming iba pang mga bagay
Mga application na maaari mong ikonekta gamit ang mga built-in na DDE function ng Excel.
Iniisip mo ba ang parehong bagay na iniisip ko?
Hayaang magsimula ang aming in-cell na command ng isang PowerShell session na magda-download at mag-execute ng link - ito , na ginamit na namin noon. Tingnan sa ibaba:
Mag-paste lang ng kaunting PowerShell para i-load at patakbuhin ang remote code sa Excel
Ngunit mayroong isang catch: dapat mong tahasang ipasok ang data na ito sa cell para gumana ang formula na ito sa Excel. Paano maisasakatuparan ng isang hacker ang DDE command na ito nang malayuan? Ang katotohanan ay kapag ang isang talahanayan ng Excel ay bukas, susubukan ng Excel na i-update ang lahat ng mga link sa DDE. Matagal nang may kakayahan ang mga setting ng Trust Center na i-disable ito o magbigay ng babala kapag nag-a-update ng mga link sa mga external na data source.
Kahit na wala ang pinakabagong mga patch, maaari mong hindi paganahin ang awtomatikong pag-update ng link sa DDE
Ang orihinal na Microsoft mismo Dapat i-disable ng mga kumpanya sa 2017 ang mga awtomatikong pag-update ng link upang maiwasan ang mga kahinaan ng DDE sa Word at Excel. Noong Enero 2018, naglabas ang Microsoft ng mga patch para sa Excel 2007, 2010 at 2013 na hindi pinapagana ang DDE bilang default. Ito Inilalarawan ng Computerworld ang lahat ng mga detalye ng patch.
Well, ano ang tungkol sa mga log ng kaganapan?
Gayunpaman, inabandona ng Microsoft ang DDE para sa MS Word at Excel, at sa wakas ay nakilala na ang DDE ay mas katulad ng isang bug kaysa sa functionality. Kung sa ilang kadahilanan ay hindi mo pa na-install ang mga patch na ito, maaari mo pa ring bawasan ang panganib ng pag-atake ng DDE sa pamamagitan ng hindi pagpapagana ng mga awtomatikong pag-update ng link at pagpapagana ng mga setting na mag-uudyok sa mga user na mag-update ng mga link kapag nagbubukas ng mga dokumento at spreadsheet.
Ngayon ang milyong dolyar na tanong: Kung biktima ka ng pag-atakeng ito, lalabas ba sa log ang mga session ng PowerShell mula sa mga field ng Word o Excel cell?
Tanong: Inilunsad ba ang mga session ng PowerShell sa pamamagitan ng DDE na naka-log? Sagot: oo
Kapag direkta kang nagpatakbo ng mga session ng PowerShell mula sa isang Excel cell sa halip na bilang isang macro, itatala ng Windows ang mga kaganapang ito (tingnan sa itaas). Kasabay nito, hindi ko masasabi na magiging madali para sa security team na pagkatapos ay ikonekta ang lahat ng mga tuldok sa pagitan ng PowerShell session, ang Excel na dokumento at ang email na mensahe at maunawaan kung saan nagsimula ang pag-atake. Babalik ako dito sa huling artikulo sa aking walang katapusang serye sa mailap na malware.
Kumusta ang ating COM?
Sa nakaraan Nahawakan ko ang paksa ng COM scriptlets. Maginhawa sila sa kanilang sarili. , na nagpapahintulot sa iyo na ipasa ang code, sabihin ang JScript, bilang isang bagay na COM lamang. Ngunit pagkatapos ay ang mga scriptlet ay natuklasan ng mga hacker, at ito ay nagbigay-daan sa kanila na magkaroon ng isang foothold sa computer ng biktima nang hindi gumagamit ng mga hindi kinakailangang tool. Ito mula sa Derbycon ay nagpapakita ng mga built-in na tool sa Windows tulad ng regsrv32 at rundll32 na kumukuha ng mga malalayong scriptlet bilang mga argumento, at ang mga hacker ay talagang nagsasagawa ng kanilang pag-atake nang walang tulong ng malware. Gaya ng ipinakita ko noong nakaraan, madali mong mapatakbo ang mga utos ng PowerShell gamit ang isang JScript scriptlet.
Napakatalino pala ng isa nakahanap ng paraan para magpatakbo ng COM scriptlet Π² Excel na dokumento. Natuklasan niya na noong sinubukan niyang magpasok ng isang link sa isang dokumento o larawan sa isang cell, isang partikular na pakete ang ipinasok dito. At tahimik na tinatanggap ng package na ito ang isang remote scriptlet bilang input (tingnan sa ibaba).
Boom! Isa pang patago, tahimik na paraan upang ilunsad ang isang shell gamit ang COM scriptlets
Pagkatapos ng mababang antas na inspeksyon ng code, nalaman ng mananaliksik kung ano talaga ito surot sa package software. Hindi ito nilayon na magpatakbo ng mga scriptlet ng COM, ngunit para lamang mag-link sa mga file. Hindi ako sigurado kung mayroon nang patch para sa kahinaang ito. Sa sarili kong pag-aaral gamit ang Amazon WorkSpaces na may paunang naka-install na Office 2010, nagawa kong kopyahin ang mga resulta. Gayunpaman, nang sinubukan kong muli pagkaraan ng ilang sandali, hindi ito gumana.
Inaasahan ko talaga na sinabi ko sa iyo ang maraming mga kagiliw-giliw na bagay at sa parehong oras ay ipinakita na ang mga hacker ay maaaring tumagos sa iyong kumpanya sa isa o ibang katulad na paraan. Kahit na i-install mo ang lahat ng pinakabagong mga patch ng Microsoft, ang mga hacker ay mayroon pa ring maraming mga tool upang makakuha ng isang foothold sa iyong system, mula sa mga VBA macro na sinimulan ko ang seryeng ito hanggang sa malisyosong mga payload sa Word o Excel.
Sa pangwakas na (I promise) na artikulo sa saga na ito, pag-uusapan ko kung paano magbigay ng matalinong proteksyon.
Pinagmulan: www.habr.com