Nkan yii jẹ apakan ti jara Malware Aini faili. Gbogbo awọn ẹya miiran ti jara:
- Awọn Irinajo ti Elusive Malware, Apá IV: DDE ati Awọn aaye Iwe Ọrọ (a wa nibi)
Ninu nkan yii, Emi yoo bọ sinu oju iṣẹlẹ ikọlu ti kolu faili pupọ paapaa diẹ sii pẹlu pinni lori eto naa. Ṣugbọn lẹhinna Mo wa ni irọrun iyalẹnu, ikọlu koodu-ko si Ọrọ tabi awọn macros Excel ti o nilo! Ati pe eyi jẹri diẹ sii ni imunadoko ni arosọ atilẹba mi ti o wa labẹ awọn nkan lẹsẹsẹ yii: fifọ agbegbe ita ti eyikeyi agbari kii ṣe iṣẹ ṣiṣe ti o nira rara.
Ikọlu akọkọ Emi yoo ṣapejuwe ilokulo ailagbara Ọrọ Microsoft kan ti o da lori igba atijọ (DDE). O ti wa tẹlẹ . Awọn keji lo nilokulo ailagbara gbogbogbo diẹ sii ni Microsoft COM ati awọn agbara gbigbe ohun.
Pada si ojo iwaju pẹlu DDE
Ẹnikẹni miran ranti DDE? Boya kii ṣe pupọ. O jẹ ọkan ninu awọn akọkọ Ilana ibaraẹnisọrọ laarin ilana ti o gba awọn ohun elo ati awọn ẹrọ laaye lati gbe data lọ.
Emi ni diẹ faramọ pẹlu rẹ funrarami nitori Mo lo lati ṣayẹwo ati idanwo ohun elo tẹlifoonu. Ni akoko yẹn, DDE gba laaye, fun apẹẹrẹ, awọn oniṣẹ ile-iṣẹ ipe lati gbe ID olupe si ohun elo CRM kan, eyiti o ṣii kaadi alabara nikẹhin. Lati ṣe eyi, o ni lati so okun RS-232 pọ laarin foonu rẹ ati kọmputa rẹ. Awọn ọjọ yẹn ni!
Bi o ti wa ni jade, Microsoft Ọrọ jẹ ṣi DDE.
Ohun ti o jẹ ki ikọlu yii munadoko laisi koodu ni pe o le wọle si ilana DDE taara lati awọn aaye aifọwọyi ninu iwe Ọrọ kan (awọn fila si SensePost fun nipa rẹ).
Awọn koodu aaye jẹ ẹya MS Ọrọ atijọ miiran ti o fun ọ laaye lati ṣafikun ọrọ ti o ni agbara ati diẹ ti siseto si iwe rẹ. Apeere ti o han julọ julọ ni aaye nọmba oju-iwe, eyiti o le fi sii sinu ẹlẹsẹ nipa lilo iye {PAGE *MERGEFORMAT}. Eyi n gba awọn nọmba oju-iwe laaye lati ṣe ipilẹṣẹ laifọwọyi.
Akiyesi: O le wa nkan akojọ aṣayan aaye labẹ Fi sii.
Mo ranti pe nigbati mo kọkọ ṣe awari ẹya yii ni Ọrọ, iyalẹnu mi. Ati titi alemo yoo fi mu u, Ọrọ tun ṣe atilẹyin aṣayan awọn aaye DDE. Ero naa ni pe DDE yoo gba Ọrọ laaye lati ṣe ibaraẹnisọrọ taara pẹlu ohun elo naa, ki o le lẹhinna gbejade igbejade eto naa sinu iwe kan. O jẹ imọ-ẹrọ ọdọ pupọ ni akoko yẹn - atilẹyin fun paṣipaarọ data pẹlu awọn ohun elo ita. O ti ni idagbasoke nigbamii sinu imọ-ẹrọ COM, eyiti a yoo tun wo ni isalẹ.
Nigbamii, awọn olosa mọ pe ohun elo DDE yii le jẹ ikarahun aṣẹ, eyiti o ṣe ifilọlẹ PowerShell dajudaju, ati lati ibẹ awọn olosa le ṣe ohunkohun ti wọn fẹ.
Sikirinifoto ti o wa ni isalẹ fihan bi MO ṣe lo ilana lilọ ni ifura: iwe afọwọkọ PowerShell kekere kan (lẹhinna tọka si PS) lati aaye DDE gbe iwe afọwọkọ PS miiran, eyiti o ṣe ifilọlẹ ipele keji ti ikọlu naa.
Ṣeun si Windows fun ikilọ agbejade pe aaye DDEAUTO ti a ṣe sinu rẹ n gbiyanju ni ikoko lati bẹrẹ ikarahun naa
Ọna ti o fẹ julọ ti ilokulo ailagbara ni lati lo iyatọ pẹlu aaye DDEAUTO, eyiti o nṣiṣẹ iwe afọwọkọ laifọwọyi. nigbati nsii iwe ọrọ.
Jẹ ká ro nipa ohun ti a le se nipa yi.
Gẹgẹbi agbonaeburuwole alakobere, o le, fun apẹẹrẹ, firanṣẹ imeeli aṣiri kan, ṣe dibọn pe o wa lati Iṣẹ Tax Federal, ki o fi sii aaye DDEAUTO pẹlu iwe afọwọkọ PS fun ipele akọkọ (silẹ, pataki). Ati pe iwọ ko paapaa nilo lati ṣe eyikeyi ifaminsi gidi ti awọn macros, ati bẹbẹ lọ, bii Mo ṣe sinu
Olufaragba naa ṣii iwe rẹ, iwe afọwọkọ ti a fi sii ti mu ṣiṣẹ, ati agbonaeburuwole pari inu kọnputa naa. Ninu ọran mi, iwe afọwọkọ PS latọna jijin kan tẹjade ifiranṣẹ kan, ṣugbọn o le ni irọrun ṣe ifilọlẹ alabara PS Empire, eyiti yoo pese iraye si ikarahun latọna jijin.
Ati pe ṣaaju ki olufaragba naa ni akoko lati sọ ohunkohun, awọn olosa yoo yipada lati jẹ awọn ọdọ ti o ni ọlọrọ julọ ni abule naa.
A ṣe ifilọlẹ ikarahun naa laisi ifaminsi kekere diẹ. Paapaa ọmọde le ṣe!
DDE ati awọn aaye
Microsoft nigbamii mu DDE kuro ni Ọrọ, ṣugbọn kii ṣe ṣaaju ki ile-iṣẹ sọ pe ẹya naa jẹ ilokulo. Iyatọ wọn lati yi ohunkohun pada jẹ oye. Ninu iriri mi, Emi funrarami ti rii apẹẹrẹ nibiti awọn aaye mimu dojuiwọn nigbati ṣiṣi iwe kan ti ṣiṣẹ, ṣugbọn awọn macros Ọrọ jẹ alaabo nipasẹ IT (ṣugbọn fifi iwifunni han). Nipa ọna, o le wa awọn eto ti o baamu ni apakan awọn eto Ọrọ.
Bibẹẹkọ, paapaa ti imudojuiwọn aaye ba ṣiṣẹ, Ọrọ Microsoft tun sọ olumulo leti nigbati aaye kan ba beere iraye si data paarẹ, gẹgẹ bi ọran pẹlu DDE loke. Microsoft n kilọ fun ọ gaan.
Ṣugbọn o ṣeese julọ, awọn olumulo yoo tun foju kọ ikilọ yii ati mu imudojuiwọn awọn aaye ṣiṣẹ ni Ọrọ. Eyi jẹ ọkan ninu awọn aye to ṣọwọn lati dupẹ lọwọ Microsoft fun piparẹ ẹya DDE ti o lewu.
Bawo ni o ṣe ṣoro lati wa eto Windows ti a ko pamọ loni?
Fun idanwo yii, Mo lo Awọn aaye iṣẹ AWS lati wọle si tabili tabili foju kan. Ni ọna yii Mo ni ẹrọ foju MS Office ti a ko pa mọ ti o gba mi laaye lati fi aaye DDEAUTO sii. Emi ko ni iyemeji pe ni ọna kanna o le wa awọn ile-iṣẹ miiran ti ko tii fi sii awọn abulẹ aabo to wulo.
Ohun ijinlẹ ti awọn nkan
Paapa ti o ba fi patch yii sori ẹrọ, awọn iho aabo miiran wa ni MS Office ti o gba awọn olosa laaye lati ṣe nkan ti o jọra si ohun ti a ṣe pẹlu Ọrọ. Ni oju iṣẹlẹ ti nbọ a yoo kọ ẹkọ lo Excel bi ìdẹ fun ikọlu ararẹ laisi kikọ eyikeyi koodu.
Lati loye oju iṣẹlẹ yii, jẹ ki a ranti Awoṣe Ohun elo Ohun elo Microsoft, tabi fun kukuru COM (Awoṣe Ohun elo Nkan).
COM ti wa ni ayika lati awọn ọdun 1990, ati pe o jẹ asọye bi “aiṣedeede ede, awoṣe paati ohun-elo” ti o da lori awọn ipe ilana isakoṣo latọna jijin RPC. Fun oye gbogbogbo ti awọn ọrọ-ọrọ COM, ka lori StackOverflow.
Ni ipilẹ, o le ronu ohun elo COM kan bi Tayo tabi iṣẹ ṣiṣe Ọrọ, tabi diẹ ninu faili alakomeji miiran ti o ṣiṣẹ.
O wa ni pe ohun elo COM tun le ṣiṣẹ ohn - JavaScript tabi VBScript. Ni imọ-ẹrọ o pe iwe afọwọkọ. O le ti rii itẹsiwaju .sct fun awọn faili ni Windows - eyi ni itẹsiwaju osise fun awọn iwe afọwọkọ. Ni pataki, wọn jẹ koodu iwe afọwọkọ ti a we sinu apo-iwe XML kan:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Awọn olosa ati awọn pentesters ti ṣe awari pe awọn ohun elo ọtọtọ ati awọn ohun elo wa ni Windows ti o gba awọn nkan COM ati, ni ibamu, awọn iwe afọwọkọ paapaa.
Mo le ṣe iwe afọwọkọ kan si IwUlO Windows ti a kọ sinu VBS ti a mọ si pubprn. O wa ni awọn ijinle C: Windowssystem32Printing_Admin_Scripts. Nipa ọna, awọn ohun elo Windows miiran wa ti o gba awọn nkan bi awọn aye. Jẹ ki a wo apẹẹrẹ yii ni akọkọ.
O jẹ ohun adayeba pe ikarahun le ṣe ifilọlẹ paapaa lati iwe afọwọkọ titẹ. Lọ Microsoft!
Gẹgẹbi idanwo kan, Mo ṣẹda iwe afọwọkọ jijin ti o rọrun kan ti o ṣe ifilọlẹ ikarahun kan ati tẹ ifiranṣẹ alarinrin kan jade, “O ṣẹṣẹ ti kọ ọ!” Ni pataki, pubprn ṣe imudara ohun kikọ iwe afọwọṣe kan, gbigba koodu VBScript lati ṣiṣẹ murasilẹ kan. Ọna yii n pese anfani ti o han gbangba si awọn olosa ti o fẹ lati wọ inu ati tọju lori eto rẹ.
Ninu ifiweranṣẹ ti nbọ, Emi yoo ṣe alaye bii awọn iwe afọwọkọ COM ṣe le lo nipasẹ awọn olosa nipa lilo awọn iwe kaakiri Excel.
Fun iṣẹ amurele rẹ, wo lati Derbycon 2016, eyi ti o salaye gangan bi awọn olosa lo awọn iwe afọwọkọ. Ati tun ka nipa scriptlets ati diẹ ninu awọn Iru moniker.
orisun: www.habr.com