Bài viết này là một phần của loạt bài Fileless Malware. Tất cả các phần khác của bộ truyện:
- (Chúng tôi ở đây)
Trong loạt bài viết này, chúng tôi khám phá các phương pháp tấn công đòi hỏi nỗ lực tối thiểu từ phía tin tặc. Trong quá khứ Chúng tôi đã đề cập rằng có thể chèn mã vào tải trọng trường tự động DDE trong Microsoft Word. Bằng cách mở một tài liệu như vậy được đính kèm với email lừa đảo, người dùng không cẩn thận sẽ cho phép kẻ tấn công giành được chỗ đứng trên máy tính của mình. Tuy nhiên, vào cuối năm 2017, Microsoft kẽ hở này để tấn công DDE.
Bản sửa lỗi thêm mục đăng ký vô hiệu hóa hàm DDE trong Word. Nếu bạn vẫn cần chức năng này thì bạn có thể quay lại tùy chọn này bằng cách bật các khả năng DDE cũ.
Tuy nhiên, bản vá ban đầu chỉ bao gồm Microsoft Word. Những lỗ hổng DDE này có tồn tại trong các sản phẩm Microsoft Office khác mà cũng có thể bị khai thác trong các cuộc tấn công không cần mã không? Vâng, chắc chắn rồi. Ví dụ: bạn cũng có thể tìm thấy chúng trong Excel.
Đêm của sự sống DDE
Tôi nhớ rằng lần trước tôi đã dừng lại ở phần mô tả tập lệnh COM. Tôi hứa rằng tôi sẽ tìm hiểu chúng sau trong bài viết này.
Trong lúc chờ đợi, chúng ta hãy xem xét một mặt xấu khác của DDE trong phiên bản Excel. Giống như trong Word, một số tính năng ẩn của DDE trong Excel cho phép bạn thực thi mã mà không cần nỗ lực nhiều. Là một người dùng Word lớn lên, tôi đã quen thuộc với các trường nhưng lại không biết gì về các chức năng trong DDE.
Tôi rất ngạc nhiên khi biết rằng trong Excel tôi có thể gọi một shell từ một ô như dưới đây:
Bạn có biết rằng điều này là có thể? Cá nhân tôi không
Khả năng khởi chạy Windows shell này là nhờ sự hỗ trợ của DDE. Bạn có thể nghĩ ra nhiều thứ khác
Các ứng dụng mà bạn có thể kết nối bằng cách sử dụng các hàm DDE tích hợp sẵn của Excel.
Bạn có đang nghĩ điều tương tự như tôi đang nghĩ không?
Hãy để lệnh trong ô của chúng tôi bắt đầu phiên PowerShell, sau đó tải xuống và thực thi liên kết - điều này , mà chúng tôi đã sử dụng trước đây. Xem bên dưới:
Chỉ cần dán một chút PowerShell để tải và chạy mã từ xa trong Excel
Nhưng có một nhược điểm: bạn phải nhập dữ liệu này vào ô một cách rõ ràng để công thức này hoạt động trong Excel. Làm thế nào hacker có thể thực thi lệnh DDE này từ xa? Thực tế là khi mở một bảng Excel, Excel sẽ cố gắng cập nhật tất cả các liên kết trong DDE. Cài đặt Trust Center từ lâu đã có khả năng vô hiệu hóa tính năng này hoặc cảnh báo khi cập nhật liên kết đến nguồn dữ liệu bên ngoài.
Ngay cả khi không có bản vá mới nhất, bạn vẫn có thể tắt tính năng cập nhật liên kết tự động trong DDE
Bản thân Microsoft ban đầu Các công ty trong năm 2017 nên tắt tính năng cập nhật liên kết tự động để ngăn chặn lỗ hổng DDE trong Word và Excel. Vào tháng 2018 năm 2007, Microsoft đã phát hành các bản vá lỗi cho Excel 2010, 2013 và XNUMX vô hiệu hóa DDE theo mặc định. Cái này Computerworld mô tả tất cả các chi tiết của bản vá.
Vâng, còn nhật ký sự kiện thì sao?
Tuy nhiên, Microsoft đã từ bỏ DDE để chuyển sang MS Word và Excel, qua đó cuối cùng nhận ra rằng DDE giống một lỗi hơn là chức năng. Nếu vì lý do nào đó mà bạn chưa cài đặt các bản vá này, bạn vẫn có thể giảm nguy cơ bị tấn công DDE bằng cách tắt cập nhật liên kết tự động và bật cài đặt nhắc người dùng cập nhật liên kết khi mở tài liệu và bảng tính.
Bây giờ là câu hỏi triệu đô: Nếu bạn là nạn nhân của cuộc tấn công này, liệu các phiên PowerShell được khởi chạy từ các trường Word hoặc ô Excel có hiển thị trong nhật ký không?
Câu hỏi: Các phiên PowerShell có được khởi chạy qua DDE được ghi lại không? Trả lời có
Khi bạn chạy các phiên PowerShell trực tiếp từ một ô Excel chứ không phải dưới dạng macro, Windows sẽ ghi lại những sự kiện này (xem ở trên). Đồng thời, tôi không thể khẳng định rằng nhóm bảo mật sẽ dễ dàng kết nối tất cả các dấu chấm giữa phiên PowerShell, tài liệu Excel và email cũng như hiểu được cuộc tấn công bắt đầu từ đâu. Tôi sẽ quay lại vấn đề này trong bài viết cuối cùng trong loạt bài không bao giờ kết thúc của tôi về phần mềm độc hại khó nắm bắt.
COM của chúng ta thế nào?
Trước đây Tôi đã đề cập đến chủ đề tập lệnh COM. Bản thân chúng rất tiện lợi. , cho phép bạn truyền mã, chẳng hạn như JScript, đơn giản như một đối tượng COM. Nhưng sau đó các tập lệnh đã bị tin tặc phát hiện và điều này cho phép chúng có được chỗ đứng trên máy tính nạn nhân mà không cần sử dụng các công cụ không cần thiết. Cái này từ Derbycon trình diễn các công cụ Windows tích hợp sẵn như regsrv32 và rundll32 chấp nhận các tập lệnh từ xa làm đối số và về cơ bản, tin tặc thực hiện cuộc tấn công của chúng mà không cần sự trợ giúp của phần mềm độc hại. Như tôi đã trình bày lần trước, bạn có thể dễ dàng chạy các lệnh PowerShell bằng tập lệnh JScript.
Hoá ra người đó rất thông minh đã tìm ra cách để chạy tập lệnh COM в Tài liệu Excel. Anh phát hiện ra rằng khi anh cố gắng chèn một liên kết đến một tài liệu hoặc hình ảnh vào một ô, một gói nào đó đã được chèn vào đó. Và gói này lặng lẽ chấp nhận tập lệnh từ xa làm đầu vào (xem bên dưới).
Bùm! Một phương pháp lén lút, im lặng khác để khởi chạy shell bằng tập lệnh COM
Sau khi kiểm tra mã cấp thấp, nhà nghiên cứu đã phát hiện ra nó thực sự là gì sâu bọ trong gói phần mềm. Nó không nhằm mục đích chạy tập lệnh COM mà chỉ để liên kết đến các tệp. Tôi không chắc đã có bản vá cho lỗ hổng này chưa. Trong nghiên cứu của riêng tôi bằng cách sử dụng Amazon WorkSpaces có cài đặt sẵn Office 2010, tôi đã có thể lặp lại kết quả. Tuy nhiên, khi tôi thử lại một lúc sau, nó không hoạt động.
Tôi thực sự hy vọng rằng tôi đã nói với bạn nhiều điều thú vị, đồng thời chỉ ra rằng tin tặc có thể xâm nhập vào công ty của bạn theo cách tương tự này hay cách khác. Ngay cả khi bạn cài đặt tất cả các bản vá mới nhất của Microsoft, tin tặc vẫn có nhiều công cụ để chiếm chỗ đứng trong hệ thống của bạn, từ các macro VBA mà tôi đã bắt đầu loạt bài này cho đến các tải trọng độc hại trong Word hoặc Excel.
Trong bài viết cuối cùng (tôi hứa) của câu chuyện này, tôi sẽ nói về cách cung cấp sự bảo vệ thông minh.
Nguồn: www.habr.com