یہ مضمون فائل لیس میل ویئر سیریز کا حصہ ہے۔ سیریز کے دیگر تمام حصے:
- The Adventures of the Elusive Malware, Part IV: DDE اور Word Document Fields (ہم یہاں ہیں)
اس آرٹیکل میں، میں سسٹم پر پن کرنے کے ساتھ ایک اور بھی پیچیدہ ملٹی اسٹیج فائل لیس اٹیک کے منظر نامے میں غوطہ لگانے جا رہا تھا۔ لیکن پھر میں نے ایک ناقابل یقین حد تک آسان، بغیر کوڈ کے حملے کا سامنا کیا — کسی ورڈ یا ایکسل میکرو کی ضرورت نہیں! اور یہ مضمون کے اس سلسلے کے تحت میری اصل مفروضے کو زیادہ مؤثر طریقے سے ثابت کرتا ہے: کسی بھی تنظیم کے بیرونی دائرے کو توڑنا کوئی مشکل کام نہیں ہے۔
پہلا حملہ جس کی میں وضاحت کروں گا وہ مائیکروسافٹ ورڈ کی کمزوری کا استحصال کرتا ہے جس پر مبنی ہے۔ پرانی (DDE). وہ پہلے ہی تھی۔ . دوسرا مائیکروسافٹ COM اور آبجیکٹ کی منتقلی کی صلاحیتوں میں زیادہ عام کمزوری کا فائدہ اٹھاتا ہے۔
DDE کے ساتھ مستقبل پر واپس جائیں۔
کسی اور کو ڈی ڈی ای یاد ہے؟ شاید بہت سے نہیں۔ یہ پہلے میں سے ایک تھا۔ انٹر پروسیس کمیونیکیشن پروٹوکول جو ایپلی کیشنز اور ڈیوائسز کو ڈیٹا منتقل کرنے کی اجازت دیتے ہیں۔.
میں خود اس سے تھوڑا سا واقف ہوں کیونکہ میں ٹیلی کام کے آلات کی جانچ اور جانچ کرتا تھا۔ اس وقت، DDE نے، مثال کے طور پر، کال سینٹر آپریٹرز کو کالر ID کو CRM ایپلیکیشن میں منتقل کرنے کی اجازت دی، جس نے بالآخر ایک کسٹمر کارڈ کھولا۔ ایسا کرنے کے لیے، آپ کو اپنے فون اور اپنے کمپیوٹر کے درمیان ایک RS-232 کیبل کو جوڑنا ہوگا۔ وہ کیا دن تھے!
جیسا کہ یہ پتہ چلتا ہے، مائیکروسافٹ ورڈ اب بھی ہے ڈی ڈی ای
کوڈ کے بغیر اس حملے کو جو چیز موثر بناتی ہے وہ یہ ہے کہ آپ DDE پروٹوکول تک رسائی حاصل کر سکتے ہیں۔ براہ راست ورڈ دستاویز میں خودکار فیلڈز سے (ہیٹ آف سینس پوسٹ کے لیے اس کے بارے میں).
فیلڈ کوڈز MS Word کی ایک اور قدیم خصوصیت ہے جو آپ کو اپنے دستاویز میں متحرک متن اور تھوڑا سا پروگرامنگ شامل کرنے کی اجازت دیتی ہے۔ سب سے واضح مثال صفحہ نمبر کی فیلڈ ہے، جسے {PAGE *MERGEFORMAT} کی قدر کا استعمال کرتے ہوئے فوٹر میں داخل کیا جا سکتا ہے۔ یہ صفحہ نمبرز کو خود بخود تیار کرنے کی اجازت دیتا ہے۔
اشارہ: آپ Insert کے تحت فیلڈ مینو آئٹم تلاش کر سکتے ہیں۔
مجھے یاد ہے کہ جب میں نے پہلی بار ورڈ میں یہ خصوصیت دریافت کی تھی تو میں حیران رہ گیا تھا۔ اور جب تک کہ پیچ اسے غیر فعال نہیں کرتا، ورڈ نے پھر بھی ڈی ڈی ای فیلڈز آپشن کو سپورٹ کیا۔ خیال یہ تھا کہ ڈی ڈی ای ورڈ کو براہ راست ایپلی کیشن کے ساتھ بات چیت کرنے کی اجازت دے گا، تاکہ یہ پروگرام کے آؤٹ پٹ کو ایک دستاویز میں منتقل کر سکے۔ اس وقت یہ ایک بہت ہی نوجوان ٹیکنالوجی تھی - بیرونی ایپلی کیشنز کے ساتھ ڈیٹا ایکسچینج کے لیے سپورٹ۔ بعد میں اسے COM ٹیکنالوجی میں تیار کیا گیا، جسے ہم ذیل میں بھی دیکھیں گے۔
آخر کار، ہیکرز کو معلوم ہوا کہ یہ DDE ایپلیکیشن ایک کمانڈ شیل ہو سکتی ہے، جس نے یقیناً پاور شیل کو لانچ کیا، اور وہاں سے ہیکرز جو چاہیں کر سکتے ہیں۔
ذیل کا اسکرین شاٹ دکھاتا ہے کہ میں نے اس اسٹیلتھ تکنیک کو کس طرح استعمال کیا: DDE فیلڈ سے ایک چھوٹی پاور شیل اسکرپٹ (جسے بعد میں PS کہا جاتا ہے) ایک اور PS اسکرپٹ لوڈ کرتی ہے، جو حملے کے دوسرے مرحلے کا آغاز کرتی ہے۔
پاپ اپ وارننگ کے لیے ونڈوز کا شکریہ کہ بلٹ ان DDEAUTO فیلڈ خفیہ طور پر شیل کو شروع کرنے کی کوشش کر رہا ہے۔
کمزوری کا فائدہ اٹھانے کا ترجیحی طریقہ DDEAUTO فیلڈ کے ساتھ ایک متغیر استعمال کرنا ہے، جو خود بخود اسکرپٹ کو چلاتا ہے۔ کھولتے وقت لفظ دستاویز۔
آئیے سوچتے ہیں کہ ہم اس بارے میں کیا کر سکتے ہیں۔
ایک نوسکھئیے ہیکر کے طور پر، آپ، مثال کے طور پر، ایک فشنگ ای میل بھیج سکتے ہیں، یہ دکھاوا کرتے ہوئے کہ آپ فیڈرل ٹیکس سروس سے ہیں، اور DDEAUTO فیلڈ کو پہلے مرحلے کے لیے PS اسکرپٹ کے ساتھ ایمبیڈ کر سکتے ہیں (ایک ڈراپر، بنیادی طور پر)۔ اور آپ کو میکروز وغیرہ کی کوئی حقیقی کوڈنگ کرنے کی بھی ضرورت نہیں ہے، جیسا کہ میں نے کیا تھا۔
شکار آپ کے دستاویز کو کھولتا ہے، ایمبیڈڈ اسکرپٹ کو چالو کیا جاتا ہے، اور ہیکر کمپیوٹر کے اندر ختم ہوجاتا ہے۔ میرے معاملے میں، ریموٹ PS اسکرپٹ صرف ایک پیغام پرنٹ کرتا ہے، لیکن یہ PS Empire کلائنٹ کو آسانی سے لانچ کر سکتا ہے، جو ریموٹ شیل تک رسائی فراہم کرے گا۔
اور اس سے پہلے کہ متاثرہ کے پاس کچھ کہنے کا وقت ہو، ہیکر گاؤں کے سب سے امیر ترین نوجوان نکلیں گے۔
شیل کو بغیر کسی کوڈنگ کے لانچ کیا گیا تھا۔ ایک بچہ بھی یہ کر سکتا ہے!
ڈی ڈی ای اور فیلڈز
مائیکروسافٹ نے بعد میں ورڈ میں ڈی ڈی ای کو غیر فعال کر دیا، لیکن اس سے پہلے نہیں کہ کمپنی نے کہا کہ اس خصوصیت کا غلط استعمال کیا گیا تھا۔ کسی بھی چیز کو تبدیل کرنے میں ان کی ہچکچاہٹ قابل فہم ہے۔ اپنے تجربے میں، میں نے خود ایک مثال دیکھی ہے جہاں کسی دستاویز کو کھولتے وقت فیلڈز کو اپ ڈیٹ کرنا فعال کیا گیا تھا، لیکن ورڈ میکروز کو IT نے غیر فعال کر دیا تھا (لیکن ایک اطلاع دکھا رہا تھا)۔ ویسے آپ ورڈ سیٹنگ سیکشن میں متعلقہ سیٹنگز تلاش کر سکتے ہیں۔
تاہم، یہاں تک کہ اگر فیلڈ اپڈیٹنگ فعال ہے، مائیکروسافٹ ورڈ اضافی طور پر صارف کو مطلع کرتا ہے جب کوئی فیلڈ حذف شدہ ڈیٹا تک رسائی کی درخواست کرتا ہے، جیسا کہ اوپر ڈی ڈی ای کا معاملہ ہے۔ مائیکروسافٹ واقعی آپ کو خبردار کر رہا ہے۔
لیکن غالب امکان ہے کہ صارفین اب بھی اس انتباہ کو نظر انداز کر دیں گے اور ورڈ میں فیلڈز اپ ڈیٹ کو چالو کریں گے۔ خطرناک DDE خصوصیت کو غیر فعال کرنے کے لیے Microsoft کا شکریہ ادا کرنے کا یہ ایک نادر موقع ہے۔
آج کل بغیر پیچ والے ونڈوز سسٹم کو تلاش کرنا کتنا مشکل ہے؟
اس جانچ کے لیے، میں نے ورچوئل ڈیسک ٹاپ تک رسائی کے لیے AWS ورک اسپیس کا استعمال کیا۔ اس طرح مجھے ایک بغیر پیچ والی MS Office ورچوئل مشین ملی جس نے مجھے DDEAUTO فیلڈ داخل کرنے کی اجازت دی۔ مجھے کوئی شک نہیں ہے کہ اسی طرح آپ دوسری کمپنیاں تلاش کر سکتے ہیں جنہوں نے ابھی تک ضروری حفاظتی پیچ انسٹال نہیں کیے ہیں۔
اشیاء کا راز
یہاں تک کہ اگر آپ نے یہ پیچ انسٹال کیا ہے، تو MS Office میں دیگر حفاظتی سوراخ ہیں جو ہیکرز کو کچھ ایسا کرنے کی اجازت دیتے ہیں جیسا کہ ہم نے Word کے ساتھ کیا تھا۔ اگلے منظر نامے میں ہم سیکھیں گے۔ بغیر کوڈ لکھے ایکسل کو فشنگ حملے کے لیے بیت کے طور پر استعمال کریں۔
اس منظر نامے کو سمجھنے کے لیے، آئیے مائیکروسافٹ کمپوننٹ آبجیکٹ ماڈل کو یاد رکھیں، یا مختصراً COM (اجزاء آبجیکٹ ماڈل).
COM 1990 کی دہائی سے ہے، اور اسے RPC ریموٹ پروسیجر کالز پر مبنی "زبان سے غیر جانبدار، آبجیکٹ پر مبنی جزو ماڈل" کے طور پر بیان کیا گیا ہے۔ COM اصطلاحات کی عمومی تفہیم کے لیے، پڑھیں StackOverflow پر۔
بنیادی طور پر، آپ COM ایپلیکیشن کو ایکسل یا ورڈ ایگزیکیوٹیبل، یا کوئی دوسری بائنری فائل کے طور پر سوچ سکتے ہیں جو چلتی ہے۔
یہ پتہ چلتا ہے کہ ایک COM ایپلیکیشن بھی چل سکتی ہے۔ منظر نامے — JavaScript یا VBScript۔ تکنیکی طور پر اسے کہتے ہیں۔ سکرپٹ. آپ نے ونڈوز میں فائلوں کے لیے .sct ایکسٹینشن دیکھی ہوگی - یہ سکرپٹ کے لیے آفیشل ایکسٹینشن ہے۔ بنیادی طور پر، وہ اسکرپٹ کوڈ ہیں جو ایک XML ریپر میں لپٹے ہوئے ہیں:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
ہیکرز اور پینٹیسٹرز نے دریافت کیا ہے کہ ونڈوز میں الگ الگ یوٹیلیٹیز اور ایپلی کیشنز ہیں جو COM اشیاء کو قبول کرتی ہیں اور اس کے مطابق اسکرپٹ بھی۔
میں وی بی ایس میں لکھی گئی ونڈوز یوٹیلیٹی کو اسکرپٹ لیٹ دے سکتا ہوں جسے پبپرن کہا جاتا ہے۔ یہ C:Windowssystem32Printing_Admin_Scripts کی گہرائی میں واقع ہے۔ ویسے، ونڈوز کی دیگر افادیتیں ہیں جو اشیاء کو پیرامیٹرز کے طور پر قبول کرتی ہیں۔ آئیے پہلے اس مثال کو دیکھتے ہیں۔
یہ بالکل فطری ہے کہ شیل کو پرنٹ اسکرپٹ سے بھی لانچ کیا جاسکتا ہے۔ مائیکروسافٹ جاؤ!
ایک ٹیسٹ کے طور پر، میں نے ایک سادہ ریموٹ اسکرپٹ لیٹ بنایا جو ایک شیل لانچ کرتا ہے اور ایک مضحکہ خیز پیغام پرنٹ کرتا ہے، "آپ کو ابھی اسکرپٹ کیا گیا ہے!" بنیادی طور پر، pubprn ایک اسکرپٹلیٹ آبجیکٹ کو فوری کرتا ہے، VBScript کوڈ کو ریپر چلانے کی اجازت دیتا ہے۔ یہ طریقہ ان ہیکرز کو ایک واضح فائدہ فراہم کرتا ہے جو آپ کے سسٹم میں چھپنا اور چھپنا چاہتے ہیں۔
اگلی پوسٹ میں، میں وضاحت کروں گا کہ کس طرح ایکسل اسپریڈ شیٹس کا استعمال کرتے ہوئے ہیکرز کے ذریعے COM اسکرپٹ لیٹس کا استحصال کیا جا سکتا ہے۔
اپنے ہوم ورک کے لیے، ایک نظر ڈالیں۔ Derbycon 2016 سے، جو بالکل واضح کرتا ہے کہ کس طرح ہیکرز نے اسکرپٹ لیٹس کا استعمال کیا۔ اور پڑھیں بھی اسکرپٹ اور کسی قسم کے مانیکر کے بارے میں۔
ماخذ: www.habr.com