مغامرات المراوغ مالفاري ، الجزء الخامس: المزيد من DDE والبرامج النصية COM

هذا المقال جزء من سلسلة Fileless Malware. جميع أجزاء السلسلة الأخرى:

• مغامرات المراوغ مالفاري ، الجزء الأول
• مغامرات المراوغ مالفاري ، الجزء الثاني: مخطوطات VBA السرية
• مغامرات المراوغ مالفاري ، الجزء الثالث: نصوص VBA المعقدة للضحك والربح
• مغامرات المراوغ مالفاري ، الجزء الرابع: DDE وحقول مستند Word
• مغامرات المراوغ مالفاري ، الجزء الخامس: المزيد من DDE و Scriptlets COM (نحن هنا)

في هذه السلسلة من المقالات ، ندرس أساليب الهجوم التي تنطوي على الحد الأدنى من الجهد من قبل المتسللين. في مقال سابق ، نظرنا في كيفية تضمين التعليمات البرمجية في حمولة حقل DDE التلقائي في Microsoft Word. من خلال فتح مثل هذا المستند ، والمرفق في رسالة بريد إلكتروني للتصيد الاحتيالي ، سيسمح مستخدم مهمل بنفسه للمهاجمين بالحصول على موطئ قدم على جهاز الكمبيوتر الخاص به. ومع ذلك ، في نهاية عام 2017 ، أغلقت مايكروسوفت هذه الثغرة للهجمات على DDE.
يضيف الإصلاح إدخال تسجيل الذي يعطل ميزات DDE في Word. إذا كنت لا تزال بحاجة إلى هذه الوظيفة ، فيمكنك إرجاع هذه المعلمة من خلال تضمين ميزات DDE القديمة.

ومع ذلك ، فإن التصحيح الأصلي فقط غطت مايكروسوفت وورد. هل توجد ثغرات DDE هذه في منتجات Microsoft Office الأخرى التي يمكن استخدامها أيضًا في الهجمات بدون رمز إضافي؟ نعم بالطبع. على سبيل المثال ، يمكنك أيضًا العثور عليها في Excel.

يعيش DDE ليلة

أتذكر أن آخر مرة استقرت فيها على وصف سكريبت COM. أعدك أنني سأصل إليهم في هذا المقال.

في غضون ذلك ، دعونا نتعرف على الجانب الشرير الآخر من DDE في إصدار Excel. مثلما هو الحال في Word ، تتيح لك بعض ميزات DDE المخفية في Excel تنفيذ التعليمات البرمجية دون بذل الكثير من الجهد. كمستخدم نشأ على Word ، كنت معتادًا على الحقول ، لكنني كنت غير مدرك تمامًا للوظائف في DDE.

لقد دهشت عندما علمت أنه في Excel يمكنني أن أسترجع قشرة أوامر من خلية ، كما هو موضح أدناه:

هل تعلم أنه كان ممكنًا؟ شخصيا ، أنا - لا.

تم توفير هذه الفرصة لبدء تشغيل Windows shell لنا بواسطة DDE. يمكنك الخروج مع العديد من الآخرين
التطبيقات التي يمكنك الاتصال باستخدام وظائف DDE المضمنة في Excel.
هل تعتقد أن نفس الشيء الذي أتحدث عنه؟

اسمح لفريقنا في خلية ما ببدء جلسة PowerShell ، والتي تقوم بعد ذلك بتحميل الرابط وتنفيذه - هذه هي التقنية التي استخدمناها بالفعل. انظر أدناه:

ما عليك سوى إدخال القليل من PowerShell لتحميل وتنفيذ التعليمات البرمجية عن بُعد في Excel

ولكن هناك فارق بسيط: يجب إدخال هذه البيانات بشكل صريح في الخلية لتنفيذ هذه الصيغة في Excel. فكيف يمكن للمتسلل تنفيذ أمر DDE هذا عن بُعد؟ الحقيقة هي أنه عند فتح جدول بيانات Excel ، سيحاول Excel تحديث كافة الارتباطات في DDE. في إعدادات "مركز التوثيق" ، كان من الممكن منذ فترة طويلة تعطيل هذا أو التحذير عند تحديث الروابط بمصادر البيانات الخارجية.

حتى بدون أحدث تصحيحات ، يمكنك إيقاف تشغيل تحديثات الارتباطات التلقائية في DDE

في البداية ، نصحت Microsoft الشركات في عام 2017 بإيقاف تشغيل تحديثات الارتباط التلقائي لمنع ثغرات DDE في Word و Excel. في يناير 2018 ، أصدرت Microsoft تصحيحات لـ Excel 2007 و 2010 و 2013 ، والتي تعمل على تعطيل DDE بشكل افتراضي. توضح مقالة Computerworld هذه جميع تفاصيل التصحيح.

ولكن ماذا عن سجلات الأحداث؟

على الرغم من ذلك ، تخلت Microsoft عن DDE لـ MS Word و Excel ، وبالتالي أقرت ، أخيرًا ، أن DDE يشبه الأخطاء أكثر من الوظيفة. إذا لم تقم بعد بتثبيت هذه الإصلاحات حتى الآن ، فلا يزال بإمكانك تقليل خطر حدوث هجوم على DDE عن طريق تعطيل تحديثات الارتباط التلقائي وتشغيل الإعدادات التي تطالب المستخدمين بتحديث الارتباطات عند فتح المستندات وجداول البيانات.

الآن ، سؤال مليون دولار: إذا كنت ضحية هذا الهجوم ، فهل سيتم عرض جلسات PowerShell التي تم إطلاقها من حقول Word أو خلايا Excel في السجل؟

السؤال: هل تم تسجيل جلسات PowerShell من خلال DDE؟ الجواب نعم

عندما تبدأ جلسات PowerShell مباشرة من خلية Excel وليس ككلي ، سيقوم Windows بتسجيل هذه الأحداث (انظر أعلاه). ومع ذلك ، لا أدعي أن أقول إنه سيكون من السهل على جهاز الأمن ربط جميع النقاط بين جلسة PowerShell ، ومستند Excel ورسالة البريد وفهم أين بدأ الهجوم. سأعود إلى هذا في المقال الأخير من سلسلة لا تنتهي بلدي حول مالفاري بعيد المنال.

كيف هو COM لدينا؟

في مقال سابق ، تطرقت إلى موضوع سكريبتات COM. في حد ذاتها ، فهي تقنية مريحة تتيح لك تمرير التعليمات البرمجية ، على سبيل المثال ، JScript ، تمامًا مثل كائن COM. ولكن بعد ذلك اكتشف المتسللون البرامج النصية ، مما سمح لهم بالحصول على موطئ قدم على كمبيوتر الضحية دون استخدام أدوات إضافية. يوضح هذا الفيديو من مؤتمر Derbycon أدوات Windows المضمنة ، مثل regsrv32 و rundll32 ، والتي تأخذ البرامج النصية عن بُعد كوسائط ، ويقوم المتسللون بشكل أساسي بالهجوم دون مساعدة من البرامج الضارة. كما أظهرت في المرة الأخيرة ، يمكنك بسهولة تشغيل أوامر PowerShell باستخدام برنامج نصي JScript.

اتضح أن باحثًا ذكيًا جدًا وجد طريقة لتشغيل برنامج نصي COM في مستند Excel. وجد أنه عندما حاول إدراج رابط إلى مستند أو رسم في خلية ، تم إدراج حزمة فيه. وتقبل هذه الحزمة بهدوء البرنامج النصي عن بعد كمدخل (انظر أدناه).

بوم! طريقة أخرى صامتة التخفي لتشغيل shell باستخدام البرامج النصية COM

بعد فحص الكود المنخفض المستوى ، اكتشف الباحث أن هذا خطأ في حزمة البرامج. لم يكن الغرض منه تشغيل البرامج النصية COM ، ولكن فقط لمراجع الملفات. لست متأكدًا مما إذا كان هناك تصحيح موجود بالفعل لهذه الثغرة الأمنية. في بحثي الخاص على سطح المكتب الافتراضي لـ Amazon WorkSpaces مع تثبيت Office 2010 مسبقًا ، تمكنت من إعادة إنتاج النتائج. ومع ذلك ، عندما حاولت مرة أخرى بعد قليل ، لم تنجح.

آمل حقًا أن أخبركم بالكثير من الأمور المثيرة للاهتمام وأظهرت في الوقت نفسه أن المتسللين يمكنهم اختراق شركتك بطريقة أو بأخرى بطريقة مماثلة. حتى إذا قمت بتثبيت جميع تصحيحات Microsoft الأحدث ، فإن المتسللين لا يزال لديهم الكثير من الأدوات لإصلاحها في النظام: بدءًا من وحدات VBA التي بدأت هذه السلسلة بها ، وحتى التحميل الضار في Word أو Excel.

في المقالة (أعدك) الأخيرة من هذه الملحمة ، سأتحدث عن كيفية توفير حماية معقولة.