Bu makale Dosyasız Kötü Amaçlı Yazılım serisinin bir parçasıdır. Serinin diğer tüm bölümleri:
- (Biz burdayız)
Bu makale dizisinde bilgisayar korsanlarının minimum düzeyde çaba göstermesini gerektiren saldırı yöntemlerini araştırıyoruz. Geçmişte Kodun kendisini Microsoft Word'deki DDE otomatik alan yüküne eklemenin mümkün olduğunu ele aldık. Dikkatsiz bir kullanıcı, kimlik avı e-postasına eklenen böyle bir belgeyi açarak, saldırganın bilgisayarında bir yer edinmesine olanak tanıyacaktır. Ancak 2017 yılı sonunda Microsoft DDE'ye yönelik saldırılar için bu boşluk.
Düzeltme, devre dışı bırakan bir kayıt defteri girdisi ekler DDE işlevleri kelimede. Bu işlevselliğe hâlâ ihtiyacınız varsa eski DDE özelliklerini etkinleştirerek bu seçeneğe geri dönebilirsiniz.
Ancak orijinal yama yalnızca Microsoft Word'ü kapsıyordu. Bu DDE güvenlik açıkları, kodsuz saldırılarda da yararlanılabilecek diğer Microsoft Office ürünlerinde mevcut mu? Evet elbette. Örneğin bunları Excel'de de bulabilirsiniz.
Yaşayanların Gecesi DDE
En son COM betiklerinin açıklamasında durduğumu hatırlıyorum. Bu makalenin ilerleyen kısımlarında onlara ulaşacağıma söz veriyorum.
Bu arada DDE'nin Excel versiyonundaki bir başka kötü tarafına da bakalım. Tıpkı Word'de olduğu gibi, bazı Excel'de DDE'nin gizli özellikleri kodu fazla çaba harcamadan çalıştırmanıza izin verir. Büyümüş bir Word kullanıcısı olarak alanlara aşinaydım ancak DDE'deki işlevler hakkında hiç bilgim yoktu.
Excel'de aşağıda gösterildiği gibi bir hücreden kabuk arayabildiğimi öğrendiğimde çok şaşırdım:
Bunun mümkün olduğunu biliyor muydunuz? Şahsen ben istemiyorum
Windows kabuğunu başlatma yeteneği DDE'nin izniyledir. Daha birçok şeyi düşünebilirsiniz
Excel'in yerleşik DDE işlevlerini kullanarak bağlanabileceğiniz uygulamalar.
Sen de benim düşündüğümle aynı şeyi mi düşünüyorsun?
Hücre içi komutumuzun daha sonra bağlantıyı indirip çalıştıracak bir PowerShell oturumu başlatmasına izin verin - bu , bunu daha önce zaten kullanmıştık. Aşağıya bakınız:
Excel'de uzaktan kod yüklemek ve çalıştırmak için küçük bir PowerShell yapıştırmanız yeterli
Ancak bir sorun var: Bu formülün Excel'de çalışması için bu verileri hücreye açıkça girmeniz gerekir. Bir bilgisayar korsanı bu DDE komutunu uzaktan nasıl çalıştırabilir? Gerçek şu ki, bir Excel tablosu açıldığında Excel, DDE'deki tüm bağlantıları güncellemeye çalışacaktır. Güven Merkezi ayarları uzun süredir bunu devre dışı bırakma veya harici veri kaynaklarına olan bağlantıları güncellerken uyarma yeteneğine sahiptir.
En son yamalar olmasa bile DDE'de otomatik bağlantı güncellemesini devre dışı bırakabilirsiniz.
Microsoft'un başlangıçta kendisi Şirketler, Word ve Excel'deki DDE açıklarını önlemek için 2017 yılında otomatik bağlantı güncellemelerini devre dışı bırakmalıdır. Ocak 2018'de Microsoft, Excel 2007, 2010 ve 2013 için DDE'yi varsayılan olarak devre dışı bırakan yamalar yayınladı. Bu Computerworld yamanın tüm ayrıntılarını anlatıyor.
Peki ya olay günlükleri?
Microsoft yine de MS Word ve Excel için DDE'yi terk etti ve böylece sonunda DDE'nin işlevsellikten çok bir hataya benzediğini fark etti. Herhangi bir nedenle bu yamaları henüz yüklemediyseniz, otomatik bağlantı güncellemelerini devre dışı bırakarak ve kullanıcılardan belgeleri ve e-tabloları açarken bağlantıları güncellemelerini isteyen ayarları etkinleştirerek DDE saldırısı riskini yine de azaltabilirsiniz.
Şimdi milyon dolarlık soru şu: Eğer bu saldırının kurbanı olursanız, Word alanlarından veya Excel hücrelerinden başlatılan PowerShell oturumları log'da görünecek mi?
Soru: DDE aracılığıyla başlatılan PowerShell oturumları günlüğe kaydediliyor mu? Cevap: evet
PowerShell oturumlarını makro yerine doğrudan bir Excel hücresinden çalıştırdığınızda, Windows bu olayları günlüğe kaydeder (yukarıya bakın). Aynı zamanda güvenlik ekibinin PowerShell oturumu, Excel belgesi ve e-posta mesajı arasındaki tüm noktaları birleştirip saldırının nerede başladığını anlamasının kolay olacağını da iddia edemem. Bu konuya, yakalanması zor kötü amaçlı yazılımlarla ilgili hiç bitmeyen serimin son makalesinde geri döneceğim.
COM'umuz nasıl?
Önceki COM scriptletleri konusuna değindim. Kendi başlarına uygundurlar. , örneğin JScript gibi bir kodu yalnızca bir COM nesnesi olarak geçirmenize olanak tanır. Ancak daha sonra scriptletler bilgisayar korsanları tarafından keşfedildi ve bu, gereksiz araçlar kullanmadan kurbanın bilgisayarında yer edinmelerine olanak sağladı. Bu Derbycon'dan gelen rapor, uzak komut dosyalarını bağımsız değişken olarak kabul eden regsrv32 ve rundll32 gibi yerleşik Windows araçlarını gösteriyor ve bilgisayar korsanları, saldırılarını esasen kötü amaçlı yazılımın yardımı olmadan gerçekleştiriyor. Geçen sefer gösterdiğim gibi, JScript scriptlet'ini kullanarak PowerShell komutlarını kolaylıkla çalıştırabilirsiniz.
Birinin çok akıllı olduğu ortaya çıktı COM komut dosyasını çalıştırmanın bir yolunu buldum в Excel belgesi. Bir hücreye bir belgeye veya resme bağlantı eklemeye çalıştığında, hücreye belirli bir paketin eklendiğini keşfetti. Ve bu paket uzak bir komut dosyasını sessizce girdi olarak kabul eder (aşağıya bakın).
Boom! COM komut dosyalarını kullanarak kabuk başlatmanın başka bir gizli ve sessiz yöntemi
Düşük düzeyli kod incelemesinden sonra araştırmacı bunun gerçekte ne olduğunu buldu böcek Paket yazılımında. COM scriptlet'lerini çalıştırmak için değil, yalnızca dosyalara bağlanmak için tasarlandı. Bu güvenlik açığı için halihazırda bir yama olup olmadığından emin değilim. Office 2010'un önceden yüklendiği Amazon WorkSpaces'i kullanarak yaptığım kendi çalışmamda sonuçları tekrarlamayı başardım. Ancak biraz sonra tekrar denediğimde işe yaramadı.
Umarım size birçok ilginç şey anlatmışımdır ve aynı zamanda bilgisayar korsanlarının şu veya bu şekilde şirketinize girebileceğini göstermişimdir. En yeni Microsoft yamalarının tümünü yükleseniz bile, bilgisayar korsanlarının sisteminizde yer edinmek için bu seriye başladığım VBA makrolarından Word veya Excel'deki kötü amaçlı yüklere kadar pek çok aracı vardır.
Bu destandaki son (söz veriyorum) yazımda akıllı korumanın nasıl sağlanacağından bahsedeceğim.
Kaynak: habr.com