主持人 > 博客 > 管理 > 難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

本文是無文件惡意軟件系列的一部分。 該系列的所有其他部分:

在本系列文章中,我們將探討駭客只需付出最少努力的攻擊方法。 在過去 文章 我們已經介紹過可以將程式碼本身貼到 Microsoft Word 中的 DDE 自動欄位有效負載中。 透過開啟網路釣魚電子郵件中附加的此類文檔,粗心的使用者將允許攻擊者在其電腦上獲得立足點。 然而,2017年底,微軟 關閉 這個漏洞用於攻擊DDE。
該修復添加了一個註冊表項來禁用 DDE函數 在Word中。 如果您仍然需要此功能,則可以透過啟用舊的 DDE 功能來傳回此選項。

不過,最初的修補程式僅覆蓋 Microsoft Word。 其他 Microsoft Office 產品中是否有這些 DDE 漏洞,這些漏洞也可能在無程式碼攻擊中被利用? 是的,當然。 例如,您也可以在 Excel 中找到它們。

活人之夜 DDE

我記得上次我停在 COM scriptlet 的描述上。 我保證我會在本文後面討論它們。

同時,讓我們看看 Excel 版本中 DDE 的另一個邪惡的一面。 就像在 Word 中一樣,有些 Excel中DDE的隱藏功能 允許您毫不費力地執行程式碼。 身為一個從小長大的Word用戶,我對這些領域很熟悉,但對DDE中的功能卻一無所知。

我很驚訝地發現在 Excel 中我可以從單元格呼叫 shell,如下所示:

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

您知道這是可能的嗎? 就我個人而言,我不

這種啟動 Windows shell 的能力是由 DDE 提供的。 你還可以想到很多其他的事情
您可以使用 Excel 內建的 DDE 函數連接到的應用程式。
你跟我的想法是一樣的嗎?

讓我們的 in-cell 指令啟動一個 PowerShell 會話,然後下載並執行連結 - 這 招待會,我們之前已經使用過。 見下文:

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

只需貼上一點 PowerShell 即可在 Excel 中載入和運行遠端程式碼

但有一個問題:您必須將此資料明確輸入到儲存格中,此公式才能在 Excel 中使用。 駭客如何遠端執行此DDE命令? 事實是,當 Excel 表開啟時,Excel 會嘗試更新 DDE 中的所有連結。 信任中心設定長期以來能夠停用此功能或在更新外部資料來源的連結時發出警告。

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

即使沒有最新的補丁,您也可以在 DDE 中停用自動連結更新

微軟本來就是自己 建議 2017年公司應停用自動連結更新,以防止Word和Excel中的DDE漏洞。 2018年2007月,微軟發布了Excel 2010、2013和XNUMX的補丁,預設禁用DDE。 這 文章 Computerworld 描述了該補丁的所有細節。

那麼,事件日誌呢?

儘管如此,微軟還是​​放棄了 MS Word 和 Excel 的 DDE,從而最終認識到 DDE 更像是一個錯誤而不是功能。 如果您由於某種原因尚未安裝這些補丁,您仍然可以透過停用自動連結更新並啟用在開啟文件和電子表格時提示使用者更新連結的設定來降低 DDE 攻擊的風險。

現在的問題是:如果您是此攻擊的受害者,從 Word 欄位或 Excel 儲存格啟動的 PowerShell 會話是否會顯示在日誌中?

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

問題:是否記錄透過 DDE 啟動的 PowerShell 會話? 答:是的

當您直接從 Excel 儲存格而不是以巨集執行 PowerShell 工作階段時,Windows 會記錄這些事件(請參閱上文)。 同時,我不能聲稱安全團隊可以輕鬆地將 PowerShell 會話、Excel 文件和電子郵件之間的所有點連接起來並了解攻擊從哪裡開始。 我將在關於難以捉摸的惡意軟體的永無止境的系列的最後一篇文章中回到這一點。

我們的COM怎麼樣?

在上一個 文章 我談到了 COM scriptlet 的主題。 它們本身很方便。 技術,它允許您將程式碼(例如 JScript)簡單地作為 COM 物件傳遞。 但隨後這些腳本被駭客發現,這使他們能夠在受害者的電腦上站穩腳跟,而無需使用不必要的工具。 這 視頻 來自 Derbycon 的演示展示了內建 Windows 工具,例如 regsrv32 和 rundll32,它們採用遠端 scriptlet 作為參數,駭客基本上無需惡意軟體的幫助即可進行攻擊。 正如我上次展示的,您可以使用 JScript scriptlet 輕鬆執行 PowerShell 命令。

原來是個很聰明的人 研究員 找到了執行 COM scriptlet 的方法 в Excel 文件。 他發現,當他嘗試將文件或圖片的連結插入儲存格時,某個包被插入其中。 這個套件悄悄地接受遠端 scriptlet 作為輸入(見下文)。

難以捉摸的惡意軟體歷險記,第五部分:更多 DDE 和 COM Scriptlet

繁榮! 另一種使用 COM scriptlet 啟動 shell 的隱密、靜默方法

經過低階代碼檢查後,研究人員發現了它到底是什麼 漏洞 軟體包中的軟體。 它並不是為了運行 COM scriptlet,而只是為了連結到檔案。 我不確定是否已經有針對此漏洞的修補程式。 在我自己使用預先安裝 Office 2010 的 Amazon WorkSpaces 進行的研究中,我能夠複製結果。 然而,當我稍後再嘗試時,卻沒有成功。

我真的希望我告訴了你很多有趣的事情,同時表明駭客可以透過一種或另一種類似的方式滲透到你的公司。 即使您安裝了所有最新的 Microsoft 補丁,駭客仍然可以使用許多工具在您的系統中站穩腳跟,從我開始本系列文章時使用的 VBA 巨集到 Word 或 Excel 中的惡意負載。

在這個傳奇的最後一篇(我保證)文章中,我將討論如何提供智慧保護。

來源: www.habr.com

添加評論