Ushbu maqola Faylsiz zararli dasturlar seriyasining bir qismidir. Seriyaning barcha boshqa qismlari:
- Tutib qolmaydigan zararli dasturning sarguzashtlari, IV qism: DDE va Word hujjat maydonlari (biz shu yerdamiz)
Ushbu maqolada men tizimga mahkamlash bilan yanada murakkab ko'p bosqichli faylsiz hujum stsenariysini ko'rib chiqmoqchi edim. Ammo keyin men juda oddiy, kodsiz hujumga duch keldim - hech qanday Word yoki Excel makroslari kerak emas! Va bu mening ushbu maqolalar turkumi asosidagi asl gipotezamni yanada samaraliroq isbotlaydi: har qanday tashkilotning tashqi perimetrini buzish umuman qiyin ish emas.
Men ta'riflaydigan birinchi hujum Microsoft Word-ga asoslangan zaiflikdan foydalanadi eskirgan (DDE). U allaqachon edi . Ikkinchisi Microsoft COM va obyektlarni uzatish imkoniyatlaridagi umumiy zaiflikdan foydalanadi.
DDE bilan kelajakka qaytish
Yana kimdir DDEni eslaydimi? Ehtimol, ko'p emas. Bu birinchilardan biri edi ilovalar va qurilmalarga ma'lumotlarni uzatish imkonini beruvchi jarayonlararo aloqa protokollari.
Men o'zim u bilan bir oz tanishman, chunki men telekommunikatsiya uskunalarini tekshirib, sinovdan o'tkazardim. O'sha paytda DDE, masalan, qo'ng'iroq markazi operatorlariga qo'ng'iroq qiluvchining identifikatorini CRM ilovasiga o'tkazishga ruxsat berdi, natijada mijoz kartasi ochildi. Buning uchun siz telefoningiz va kompyuteringiz o'rtasida RS-232 kabelini ulashingiz kerak edi. O'sha kunlar edi!
Ma'lum bo'lishicha, Microsoft Word hali ham DDE.
Ushbu hujumni kodsiz samarali qiladigan narsa shundaki, siz DDE protokoliga kirishingiz mumkin to'g'ridan-to'g'ri Word hujjatidagi avtomatik maydonlardan (SensePost uchun bu haqida).
Maydon kodlari MS Word dasturining yana bir qadimiy funksiyasi boʻlib, hujjatingizga dinamik matn va biroz dasturlash qoʻshish imkonini beradi. Eng yaqqol misol bu sahifa raqami maydoni bo'lib, uni pastki qismga {PAGE *MERGEFORMAT} qiymatidan foydalanib kiritish mumkin. Bu sahifa raqamlarini avtomatik ravishda yaratishga imkon beradi.
Maslahat: "Qo'shish" ostidagi "Maydon" menyusini topishingiz mumkin.
Esimda, Word-da bu xususiyatni birinchi marta kashf qilganimda, hayratda qoldim. Yamoq uni o'chirmaguncha, Word hali ham DDE maydonlari variantini qo'llab-quvvatladi. G'oya shundan iborat ediki, DDE Word dasturiga dastur bilan to'g'ridan-to'g'ri bog'lanishga imkon beradi, shunda u dasturning natijasini hujjatga o'tkazishi mumkin edi. O'sha paytda bu juda yosh texnologiya edi - tashqi ilovalar bilan ma'lumotlar almashinuvini qo'llab-quvvatlash. Keyinchalik u MAQOMOTI texnologiyasiga aylantirildi, biz uni quyida ham ko'rib chiqamiz.
Oxir-oqibat, xakerlar ushbu DDE ilovasi buyruq qobig'i bo'lishi mumkinligini tushunishdi, bu albatta PowerShell-ni ishga tushirdi va u erdan xakerlar xohlagan narsani qilishlari mumkin edi.
Quyidagi skrinshotda men ushbu yashirin texnikadan qanday foydalanganim ko'rsatilgan: DDE maydonidan kichik PowerShell skripti (bundan buyon matnda PS deb yuritiladi) hujumning ikkinchi bosqichini ishga tushiradigan boshqa PS skriptini yuklaydi.
O'rnatilgan DDEAUTO maydoni yashirin ravishda qobiqni ishga tushirishga harakat qilayotgani haqida qalqib chiquvchi ogohlantirish uchun Windows-ga rahmat.
Zaiflikdan foydalanishning ma'qullangan usuli bu skriptni avtomatik ravishda ishga tushiradigan DDEAUTO maydoniga ega variantdan foydalanishdir. ochilganda Word hujjati.
Keling, bu borada nima qilishimiz mumkinligini o'ylab ko'raylik.
Ajam xaker sifatida siz, masalan, o'zingizni Federal Soliq xizmatidan ekanligingizni ko'rsatib, fishing elektron pochta xabarini yuborishingiz va birinchi bosqich uchun DDEAUTO maydonini PS skripti bilan joylashtirishingiz mumkin (asosan tomchi). Va men qilganimdek, makroslarni va hokazolarni haqiqiy kodlashni ham qilishingiz shart emas
Jabrlanuvchi hujjatingizni ochadi, o'rnatilgan skript faollashadi va xaker kompyuterning ichiga kiradi. Mening holimda, masofaviy PS skripti shunchaki xabarni chop etadi, lekin u PS Empire mijozini osongina ishga tushirishi mumkin, bu esa qobiqqa masofaviy kirishni ta'minlaydi.
Va jabrlanuvchi biror narsa aytishga ulgurmasidan oldin, xakerlar qishloqning eng boy o'smirlari bo'lib chiqadi.
Qobiq zarracha kodlashsiz ishga tushirildi. Buni hatto bola ham qila oladi!
DDE va maydonlar
Microsoft keyinchalik Word-da DDE-ni o'chirib qo'ydi, ammo kompaniya bu xususiyat shunchaki noto'g'ri ishlatilganligini aytishdan oldin emas. Ularning biror narsani o'zgartirishni istamasligi tushunarli. O'z tajribamda men hujjatni ochishda maydonlarni yangilash yoqilgan, ammo Word makroslari IT tomonidan o'chirilgan (lekin bildirishnoma ko'rsatgan) misolini ko'rdim. Aytgancha, tegishli sozlamalarni Word sozlamalari bo'limida topishingiz mumkin.
Biroq, maydonni yangilash yoqilgan bo'lsa ham, Microsoft Word, yuqoridagi DDE bilan bo'lgani kabi, maydon o'chirilgan ma'lumotlarga kirishni talab qilganda foydalanuvchini qo'shimcha ravishda xabardor qiladi. Microsoft haqiqatan ham sizni ogohlantirmoqda.
Ammo, ehtimol, foydalanuvchilar hali ham bu ogohlantirishni e'tiborsiz qoldiradilar va Word-da maydonlarni yangilashni faollashtiradilar. Bu xavfli DDE funksiyasini o'chirib qo'ygani uchun Microsoftga minnatdorchilik bildirish uchun kamdan-kam imkoniyatlardan biridir.
Bugungi kunda yangilanmagan Windows tizimini topish qanchalik qiyin?
Ushbu sinov uchun men virtual ish stoliga kirish uchun AWS Workspaces-dan foydalandim. Shunday qilib, men DDEAUTO maydonini kiritishimga imkon beruvchi yangilanmagan MS Office virtual mashinasini oldim. Shubhasiz, shunga o'xshash tarzda siz hali zarur xavfsizlik yamoqlarini o'rnatmagan boshqa kompaniyalarni topishingiz mumkin.
Ob'ektlarning sirlari
Agar siz ushbu yamoqni o'rnatgan bo'lsangiz ham, MS Office-da xakerlarga Word bilan qilgan ishimizga juda o'xshash narsalarni qilish imkonini beradigan boshqa xavfsizlik teshiklari mavjud. Keyingi stsenariyda biz o'rganamiz Exceldan hech qanday kod yozmasdan fishing hujumi uchun o'lja sifatida foydalaning.
Ushbu stsenariyni tushunish uchun Microsoft Component Object Modelini yoki qisqacha aytganda, eslaylik COM (komponent ob'ekt modeli).
COM 1990-yillardan beri mavjud bo'lib, RPC masofaviy protsedura chaqiruvlariga asoslangan "tilga neytral, ob'ektga yo'naltirilgan komponent modeli" sifatida belgilanadi. COM terminologiyasini umumiy tushunish uchun o'qing StackOverflow-da.
Asosan, siz MAQOMOTI ilovasini Excel yoki Word bajariladigan fayl yoki boshqa ishlaydigan ikkilik fayl deb tasavvur qilishingiz mumkin.
Ma'lum bo'lishicha, COM ilovasi ham ishlashi mumkin skript — JavaScript yoki VBScript. Texnik jihatdan u deyiladi skript. Siz Windows-dagi fayllar uchun .sct kengaytmasini ko'rgan bo'lishingiz mumkin - bu skriptlarning rasmiy kengaytmasi. Asosan, ular XML o'ramiga o'ralgan skript kodi:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Xakerlar va pentesterlar Windows-da MAQOMOTI ob'ektlarini va shunga mos ravishda skriptlarni ham qabul qiladigan alohida yordamchi dasturlar va ilovalar mavjudligini aniqladilar.
Skriptni pubprn deb nomlanuvchi VBS da yozilgan Windows yordam dasturiga o'tkazishim mumkin. U C: Windowssystem32Printing_Admin_Scripts chuqurligida joylashgan. Aytgancha, ob'ektlarni parametr sifatida qabul qiladigan boshqa Windows yordam dasturlari mavjud. Keling, avval ushbu misolni ko'rib chiqaylik.
Qobiq hatto bosma skriptdan ham ishga tushirilishi tabiiy. Microsoft-ga boring!
Sinov sifatida men oddiy masofaviy skript yaratdim, u qobiqni ishga tushiradi va “Sizga hozirgina skript yozildi!” degan kulgili xabarni chop etadi. Aslida, pubprn skript ob'ektini yaratadi, bu VBScript kodiga o'ramni ishga tushirishga imkon beradi. Bu usul sizning tizimingizga yashirincha kirishni va yashirishni istagan xakerlarga aniq afzallik beradi.
Keyingi postda men MAQOMOTI skriptlaridan Excel elektron jadvallari yordamida xakerlar tomonidan qanday foydalanishi mumkinligini tushuntiraman.
Uy vazifangiz uchun, qarang Derbycon 2016 dan, bu xakerlar skriptlardan qanday foydalanganliklarini aniq tushuntiradi. Va shuningdek o'qing skriptlar va qandaydir taxalluslar haqida.
Manba: www.habr.com