Dieser Artikel ist Teil der Fileless Malware-Reihe. Alle anderen Teile der Serie:
In dieser Artikelserie untersuchen wir Angriffsmethoden, bei denen Hacker nur minimalen Aufwand betreiben. In einem früheren
Artikel haben wir uns angesehen, wie Sie Code in die Nutzdaten eines automatischen DDE-Felds in Microsoft Word einbetten können. Durch das Öffnen eines solchen Dokuments, das in einer Phishing-E-Mail enthalten ist, ermöglicht ein unachtsamer Benutzer einem Angreifer, auf seinem Computer Fuß zu fassen. Ende 2017 schloss Microsoft diese Lücke für Angriffe auf DDE.
Der Hotfix fügt einen Registrierungseintrag hinzu, der
DDE-Funktionen in Word deaktiviert. Wenn Sie diese Funktionalität weiterhin benötigen, können Sie diesen Parameter zurückgeben, indem Sie die alten DDE-Funktionen einbeziehen.
Der ursprüngliche Patch deckte jedoch nur Microsoft Word ab. Gibt es diese DDE-Schwachstellen in anderen Microsoft Office-Produkten, die auch bei Angriffen ohne zusätzlichen Code verwendet werden können? Ja natürlich. Sie können sie beispielsweise auch in Excel finden.
Live DDE Nacht
Ich erinnere mich, dass ich mich das letzte Mal für die Beschreibung von COM-Scriptlets entschieden habe. Ich verspreche, dass ich sie in diesem Artikel erreichen werde.
Lassen Sie uns in der Zwischenzeit eine andere böse Seite von DDE in der Version für Excel herausfinden. Genau wie in Word können Sie mit einigen der
versteckten DDE-Funktionen in Excel Code ohne großen Aufwand ausführen. Als Benutzer, der mit Word aufgewachsen ist, war ich mit Feldern vertraut, aber mir waren die Funktionen in DDE überhaupt nicht bekannt.
Ich war erstaunt zu erfahren, dass ich in Excel eine Befehlsshell aus einer Zelle aufrufen kann, wie unten gezeigt:
Wussten Sie, dass es möglich ist? Persönlich ich - nein.
Diese Möglichkeit, die Windows-Shell zu starten, wurde uns freundlicherweise von DDE zur Verfügung gestellt. Sie können sich viele andere einfallen lassen
Anwendungen, mit denen Sie mithilfe der in Excel integrierten DDE-Funktionen eine Verbindung herstellen können.
Denken Sie das gleiche, worüber ich spreche?
Lassen Sie unser Team in einer Zelle eine PowerShell-Sitzung starten, die dann den Link lädt und ausführt - dies ist die
Technik , die wir bereits verwendet haben. Siehe unten:
Fügen Sie einfach ein wenig PowerShell ein, um Remotecode in Excel zu laden und auszuführen
Es gibt jedoch eine Nuance: Sie müssen diese Daten explizit in die Zelle eingeben, damit diese Formel in Excel ausgeführt werden kann. Wie kann ein Hacker diesen DDE-Befehl remote ausführen? Tatsache ist, dass Excel beim Öffnen der Excel-Tabelle versucht, alle Links in der DDE zu aktualisieren. In den Trust Center-Einstellungen ist es seit langem möglich, dies zu deaktivieren oder beim Aktualisieren von Links zu externen Datenquellen zu warnen.
Auch ohne die neuesten Patches können Sie automatische Link-Updates in DDE deaktivieren
Microsoft hat Unternehmen 2017 zunächst
empfohlen , automatische Link-Updates zu deaktivieren, um DDE-Schwachstellen in Word und Excel zu vermeiden. Im Januar 2018 veröffentlichte Microsoft Patches für Excel 2007, 2010 und 2013, mit denen DDE standardmäßig deaktiviert wird. Dieser Computerworld-
Artikel beschreibt alle Details eines Patches.
Aber was ist mit Ereignisprotokollen?
Microsoft hat DDE dennoch für MS Word und Excel aufgegeben und damit anerkannt, dass DDE eher ein Fehler als eine Funktionalität ist. Wenn Sie diese Fixes aus irgendeinem Grund noch nicht installiert haben, können Sie das Risiko eines Angriffs auf DDE dennoch verringern, indem Sie die automatischen Linkaktualisierungen deaktivieren und die Einstellungen aktivieren, mit denen Benutzer beim Öffnen von Dokumenten und Tabellen aufgefordert werden, Links zu aktualisieren.
Nun eine Millionen-Dollar-Frage: Wenn Sie Opfer dieses Angriffs sind, werden PowerShell-Sitzungen, die über Word-Felder oder Excel-Zellen gestartet wurden, im Protokoll angezeigt?
Frage: Sind PowerShell-Sitzungen über DDE angemeldet? Die Antwort lautet ja
Wenn Sie PowerShell-Sitzungen direkt aus einer Excel-Zelle und nicht als Makro starten, protokolliert Windows diese Ereignisse (siehe oben). Ich behaupte jedoch nicht, dass es für den Sicherheitsdienst einfach sein wird, alle Punkte zwischen der PowerShell-Sitzung, dem Excel-Dokument und der E-Mail-Nachricht zu verbinden und zu verstehen, wo der Angriff begonnen hat. Ich werde im letzten Artikel meiner unendlichen Serie über die schwer fassbare Malvari darauf zurückkommen.
Wie ist unser COM?
In einem früheren
Artikel habe ich das Thema COM-Scriptlets angesprochen. Sie sind eine praktische
Technologie , mit der Sie Code wie JScript wie ein COM-Objekt übergeben können. Aber dann entdeckten die Hacker die Scriptlets und konnten so auf dem Computer des Opfers Fuß fassen, ohne zusätzliche Tools zu verwenden. Dieses
Video von der Derbycon-Konferenz zeigt die in Windows integrierten Tools wie regsrv32 und rundll32, die Remote-Scriptlets als Argumente verwenden, und Hacker führen ihre Angriffe im Wesentlichen ohne die Hilfe von Malware aus. Wie ich letztes Mal gezeigt habe, können Sie PowerShell-Befehle einfach mit einem JScript-Scriptlet ausführen.
Es stellte sich heraus, dass ein sehr kluger
Forscher einen Weg gefunden hatte, ein COM-Scriptlet
in einem Excel-Dokument auszuführen. Er stellte fest, dass beim Versuch, einen Link zu einem Dokument oder einer Zeichnung in eine Zelle einzufügen, ein Paket darin eingefügt wurde. Und dieses Paket akzeptiert leise ein Remote-Scriptlet als Eingabe (siehe unten).
Boom! Eine weitere versteckte stille Methode zum Ausführen einer Shell mithilfe von COM-Scriptlets
Nach einer Code-Inspektion auf niedriger Ebene stellte der Forscher fest, dass dies tatsächlich ein
Fehler im Softwarepaket ist. Es war nicht beabsichtigt, COM-Scriptlets auszuführen, sondern nur für Dateiverweise. Ich bin nicht sicher, ob für diese Sicherheitsanfälligkeit bereits ein Patch vorhanden ist. Bei meinen eigenen Recherchen zum virtuellen Desktop von Amazon WorkSpaces mit vorinstalliertem Office 2010 konnte ich die Ergebnisse reproduzieren. Als ich es jedoch etwas später erneut versuchte, war ich nicht erfolgreich.
Ich hoffe wirklich, dass ich Ihnen viele interessante Dinge erzählt und gleichzeitig gezeigt habe, dass Hacker Ihr Unternehmen auf die eine oder andere Weise infiltrieren können. Selbst wenn Sie die neuesten Microsoft-Patches installieren, müssen Hacker noch viele Tools im System reparieren: von den VBA-Makros, mit denen ich diese Serie gestartet habe, bis hin zum böswilligen Laden in Word oder Excel.
Im letzten (ich verspreche) Artikel dieser Saga werde ich darüber sprechen, wie man angemessenen Schutz bietet.