یہ مضمون فائل لیس میل ویئر سیریز کا حصہ ہے۔ سیریز کے دیگر تمام حصے:
- Elusive Malware کی مہم جوئی، حصہ IV: DDE اور Word Document Fields (ہم یہاں ہیں)
اس آرٹیکل میں، میں ثابت قدمی کے ساتھ ایک اور بھی پیچیدہ ملٹی اسٹیج فائل لیس حملے کے منظر نامے کو تلاش کرنے کا منصوبہ بنا رہا تھا۔ لیکن پھر میں نے ایک ناقابل یقین حد تک سادہ، کوڈ لیس حملے سے ٹھوکر کھائی — کسی ورڈ یا ایکسل میکرو کی ضرورت نہیں! اور یہ بہت زیادہ مؤثر طریقے سے اس سلسلے کے تحت میرے ابتدائی مفروضے کو ثابت کرتا ہے: کسی بھی تنظیم کے بیرونی دائرے میں گھسنا کوئی مشکل کام نہیں ہے۔
پہلا حملہ جس کی میں وضاحت کروں گا مائیکروسافٹ ورڈ کی کمزوری کا استحصال کرتا ہے جس پر انحصار کرتا ہے۔ پرانی (DDE)وہ پہلے ہی وہاں موجود تھی۔ دوسرا مائیکروسافٹ COM اور اس کی آبجیکٹ پاس کرنے کی صلاحیتوں میں زیادہ عام کمزوری کا فائدہ اٹھاتا ہے۔
ڈی ڈی ای کے ساتھ مستقبل پر واپس جائیں۔
کیا اب بھی کسی کو ڈی ڈی ای یاد ہے؟ شاید بہت سے نہیں۔ یہ پہلے میں سے ایک تھا۔ انٹر پروسیس کمیونیکیشن پروٹوکول جو ایپلیکیشنز اور ڈیوائسز کو ڈیٹا کا تبادلہ کرنے کی اجازت دیتے ہیں۔.
میں خود اس سے کچھ حد تک واقف ہوں، جیسا کہ میں ٹیلی کام آلات کی جانچ اور جانچ کرتا تھا۔ اس وقت، ڈی ڈی ای نے کال سینٹر آپریٹرز کو، مثال کے طور پر، کالر آئی ڈی کو CRM ایپلیکیشن میں منتقل کرنے کی اجازت دی، جس نے بالآخر صارف کا پروفائل کھول دیا۔ ایسا کرنے کے لیے، آپ کو فون اور کمپیوٹر کے درمیان ایک RS-232 کیبل کو جوڑنا ہوگا۔ وہ دن تھے!
جیسا کہ یہ پتہ چلتا ہے، مائیکروسافٹ ورڈ اب بھی ہے ڈی ڈی ای
کوڈ کے بغیر اس حملے کو جو چیز موثر بناتی ہے وہ یہ ہے کہ آپ DDE پروٹوکول تک رسائی حاصل کر سکتے ہیں۔ براہ راست ورڈ دستاویز کے خودکار فیلڈز سے (ہیٹ آف ٹو سینس پوسٹ برائے اس بارے میں)۔
فیلڈ کوڈز - یہ ایک اور قدیم MS Word کی خصوصیت ہے جو آپ کو اپنے دستاویز میں متحرک متن اور تھوڑا سا پروگرامنگ شامل کرنے کی اجازت دیتی ہے۔ سب سے واضح مثال "صفحہ نمبر" فیلڈ ہے، جسے {PAGE *MERGEFORMAT} ویلیو کا استعمال کرتے ہوئے فوٹر میں داخل کیا جا سکتا ہے۔ یہ صفحہ نمبروں کی خودکار تخلیق کی اجازت دیتا ہے۔
اشارہ: آپ Insert سیکشن کے تحت فیلڈ مینو آئٹم تلاش کر سکتے ہیں۔
مجھے یاد ہے کہ جب میں نے پہلی بار ورڈ میں یہ خصوصیت دریافت کی تھی تو میں حیران رہ گیا تھا۔ جب تک کسی پیچ نے اسے غیر فعال نہیں کیا، ورڈ DDE فیلڈز کے آپشن کو سپورٹ کرتا رہا۔ خیال یہ تھا کہ ڈی ڈی ای ورڈ کو کسی ایپلیکیشن کے ساتھ براہ راست بات چیت کرنے کی اجازت دے گا، اور پھر اسے پروگرام کے آؤٹ پٹ ڈیٹا کو دستاویز میں منتقل کرنے کی اجازت دے گا۔ یہ اس وقت ایک بہت ہی نوجوان ٹیکنالوجی تھی - بیرونی ایپلی کیشنز کے ساتھ ڈیٹا کے تبادلے کے لیے معاونت۔ بعد میں اسے COM ٹیکنالوجی میں تیار کیا گیا، جس پر ہم ذیل میں بھی بات کریں گے۔
آخر کار، ہیکرز کو معلوم ہوا کہ یہ ڈی ڈی ای ایپلی کیشن ایک کمانڈ شیل ہو سکتی ہے، جو یقیناً پاور شیل کو چلاتا ہے، اور وہاں سے ہیکرز جو چاہیں کر سکتے ہیں۔
نیچے دیا گیا اسکرین شاٹ ظاہر کرتا ہے کہ میں نے اس خفیہ تکنیک کو کس طرح استعمال کیا: DDE فیلڈ سے ایک چھوٹی پاور شیل اسکرپٹ (اس کے بعد PS کہا جاتا ہے) ایک اور PS اسکرپٹ لوڈ کرتی ہے، جو حملے کے دوسرے مرحلے کا آغاز کرتی ہے۔
ایک انتباہ کو پاپ اپ کرنے کے لئے ونڈوز کا شکریہ کہ بلٹ ان DDEAUTO فیلڈ خفیہ طور پر شیل کو لانچ کرنے کی کوشش کر رہا ہے۔
کمزوری سے فائدہ اٹھانے کا ترجیحی طریقہ DDEAUTO فیلڈ کا استعمال کرنا ہے، جو اسکرپٹ کو خود بخود چلاتا ہے۔ کھولتے وقت لفظ دستاویز۔
آئیے سوچتے ہیں کہ اس بارے میں کیا کیا جا سکتا ہے۔
ایک نوسکھئیے ہیکر کے طور پر، آپ، مثال کے طور پر، فیڈرل ٹیکس سروس سے ہونے کا بہانہ کرتے ہوئے، ایک فشنگ ای میل بھیج سکتے ہیں، اور DDEAUTO فیلڈ کو پہلے مرحلے کے لیے PS اسکرپٹ کے ساتھ ایمبیڈ کر سکتے ہیں (بنیادی طور پر ایک ڈراپر)۔ اور آپ کو کوئی حقیقی میکرو کوڈنگ یا کچھ بھی کرنے کی ضرورت نہیں ہے جیسا کہ میں نے کیا تھا۔
شکار آپ کے دستاویز کو کھولتا ہے، ایمبیڈڈ اسکرپٹ کو چالو کیا جاتا ہے، اور ہیکر کمپیوٹر کے اندر ہوتا ہے۔ میرے معاملے میں، ریموٹ PS اسکرپٹ صرف ایک پیغام پرنٹ کرتا ہے، لیکن یہ PS Empire کلائنٹ کو آسانی سے لانچ کر سکتا ہے، جو ریموٹ شیل تک رسائی فراہم کرے گا۔
اور اس سے پہلے کہ متاثرہ شخص ایک لفظ بھی کہے، ہیکرز گاؤں کے امیر ترین نوجوان ہوں گے۔
شیل کو بغیر کسی کوڈنگ کے لانچ کیا گیا تھا۔ ایک بچہ بھی یہ کر سکتا ہے!
ڈی ڈی ای اور فیلڈز
مائیکروسافٹ نے بالآخر ورڈ میں ڈی ڈی ای کو غیر فعال کر دیا، لیکن یہ دعوی کرنے سے پہلے نہیں کہ اس فیچر کا غلط استعمال کیا گیا تھا۔ کسی بھی چیز کو تبدیل کرنے میں ان کی ہچکچاہٹ قابل فہم ہے۔ میں نے ذاتی طور پر ایک ایسی صورتحال کا مشاہدہ کیا جہاں دستاویز کھولنے پر فیلڈ اپڈیٹنگ کو فعال کیا گیا تھا، لیکن ورڈ میکروز کو آئی ٹی سروس نے غیر فعال کر دیا تھا (حالانکہ ایک اطلاع ظاہر کی گئی تھی)۔ اتفاق سے، آپ Word کی ترتیبات میں متعلقہ ترتیبات تلاش کر سکتے ہیں۔
تاہم، یہاں تک کہ اگر فیلڈ اپڈیٹنگ فعال ہے، مائیکروسافٹ ورڈ اضافی طور پر صارف کو مطلع کرتا ہے جب کوئی فیلڈ ریموٹ ڈیٹا تک رسائی کی درخواست کرتا ہے، جیسا کہ اوپر DDE کے معاملے میں ہے۔ مائیکروسافٹ آپ کو خبردار کرتا ہے۔
لیکن صارفین ممکنہ طور پر اس انتباہ کو نظر انداز کریں گے اور ورڈ میں فیلڈ اپ ڈیٹس کو فعال کریں گے۔ خطرناک DDE خصوصیت کو غیر فعال کرنے کے لیے Microsoft کا شکریہ ادا کرنے کا یہ ایک نادر موقع ہے۔
ان دنوں بغیر پیچ والے ونڈوز سسٹم کو تلاش کرنا کتنا مشکل ہے؟
اس ٹیسٹنگ کے لیے، میں نے ورچوئل ڈیسک ٹاپ تک رسائی کے لیے AWS Workspace ماحول استعمال کیا۔ اس نے مجھے ایم ایس آفس چلانے والی ایک غیر پیچ شدہ ورچوئل مشین دی، جس نے مجھے DDEAUTO فیلڈ داخل کرنے کی اجازت دی۔ مجھے کوئی شک نہیں کہ ایسی ہی کوششیں دوسری کمپنیوں کو تلاش کرنے کے لیے کی جا سکتی ہیں جنہوں نے ابھی تک مطلوبہ حفاظتی پیچ انسٹال نہیں کیے ہیں۔
اشیاء کا اسرار
یہاں تک کہ اگر آپ نے یہ پیچ انسٹال کیا ہے، تو MS Office میں دیگر حفاظتی سوراخ ہیں جو ہیکرز کو کچھ ایسا کرنے کی اجازت دیتے ہیں جیسا کہ ہم نے Word کے ساتھ کیا تھا۔ اگلے منظر نامے میں، ہم سیکھیں گے کہ کیسے کوڈ لکھے بغیر فشنگ حملے کے لیے ایکسل کو بیت کے طور پر استعمال کریں۔
اس منظر نامے کو سمجھنے کے لیے، آئیے مائیکروسافٹ کے کمپوننٹ آبجیکٹ ماڈل یا کومپونینٹ آبجیکٹ ماڈل کو مختصر طور پر یاد کرتے ہیں۔ COM (اجزاء آبجیکٹ ماڈل).
COM 1990 کی دہائی سے ہے اور اسے ریموٹ پروسیجر کالز (RPCs) پر مبنی "زبان سے غیر جانبدار، آبجیکٹ پر مبنی جزو ماڈل" کے طور پر بیان کیا گیا ہے۔ COM اصطلاحات کی عمومی تفہیم کے لیے، پڑھیں StackOverflow پر۔
بنیادی طور پر، آپ COM ایپلیکیشن کو ایکسل یا ورڈ ایگزیکیوٹیبل، یا کوئی دوسری رن ایبل بائنری فائل کے طور پر سوچ سکتے ہیں۔
یہ پتہ چلتا ہے کہ ایک COM ایپلیکیشن بھی چل سکتی ہے۔ منظر نامے — JavaScript یا VBScript۔ تکنیکی طور پر اسے کہا جاتا ہے۔ سکرپٹآپ نے ونڈوز فائلوں پر .sct ایکسٹینشن دیکھی ہو گی۔ یہ اسکرپٹ لیٹس کے لیے آفیشل ایکسٹینشن ہے۔ وہ بنیادی طور پر اسکرپٹ کوڈ ہیں جو XML میں لپیٹے ہوئے ہیں:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
ہیکرز اور پینٹیسٹرز نے دریافت کیا ہے کہ ونڈوز میں الگ الگ یوٹیلیٹیز اور ایپلی کیشنز ہیں جو COM اشیاء کو قبول کرتی ہیں اور اس کے مطابق اسکرپٹلیٹ بھی۔
میں وی بی ایس میں لکھی گئی ونڈوز یوٹیلیٹی کو اسکرپٹ لیٹ دے سکتا ہوں جسے پبپرن کہا جاتا ہے۔ یہ C:\Windows\system32\Printing_Admin_Scripts کی گہرائی میں واقع ہے۔ اتفاقی طور پر، ونڈوز کی دوسری افادیتیں ہیں جو اشیاء کو پیرامیٹرز کے طور پر قبول کرتی ہیں۔ آئیے اس مثال سے شروع کرتے ہیں۔
یہ فطری ہے کہ شیل کو پرنٹ اسکرپٹ سے بھی لانچ کیا جاسکتا ہے۔ آگے بڑھو، مائیکروسافٹ!
جانچ کے مقاصد کے لیے، میں نے ایک سادہ ریموٹ اسکرپٹ لیٹ بنایا جو ایک شیل لانچ کرتا ہے اور ایک مضحکہ خیز پیغام پرنٹ کرتا ہے: "آپ کو ابھی اسکرپٹ کیا گیا ہے!" بنیادی طور پر، pubprn ایک اسکرپٹلیٹ آبجیکٹ کی ایک مثال بناتا ہے، جس سے VBScript کوڈ کو شیل شروع کرنے کی اجازت ملتی ہے۔ یہ طریقہ ان ہیکرز کو واضح فوائد فراہم کرتا ہے جو آپ کے سسٹم میں چھپنے اور چھپنے کے خواہاں ہیں۔
اگلی پوسٹ میں، میں وضاحت کروں گا کہ کس طرح ایکسل اسپریڈ شیٹس کا استعمال کرتے ہوئے ہیکرز کے ذریعے COM اسکرپٹ لیٹس کا استحصال کیا جا سکتا ہے۔
اپنے ہوم ورک کے لیے، یہ دیکھیں Derbycon 2016 سے، جو بالکل واضح کرتا ہے کہ کس طرح ہیکرز نے اسکرپٹ لیٹس کا استعمال کیا۔ یہ بھی پڑھیں اسکرپٹ اور کسی قسم کے مانیکر کے بارے میں۔
ماخذ: www.habr.com
