The Adventures of the Elusive Malvari, Bagian V: Lebih Banyak DDE dan COM Scriptlets

Artikel ini adalah bagian dari seri Fileless Malware. Semua bagian seri lainnya:

• Petualangan Malvari yang Sulit dipahami, Bagian I
• The Adventures of the Elusive Malvari, Bagian II: Script VBA Rahasia
• Petualangan Malvari yang Sulit dipahami, Bagian III: Skrip VBA yang rumit untuk Tawa dan Keuntungan
• Petualangan Malvari yang Elusif, Bagian IV: Bidang Dokumen DDE dan Word
• The Adventures of the Elusive Malvari, Bagian V: Lebih Banyak DDE dan COM Scriptlets (We Are Here)

Dalam seri artikel ini, kami mempelajari metode serangan yang melibatkan upaya minimal oleh peretas. Pada artikel sebelumnya , kami melihat bagaimana Anda bisa menanamkan kode dalam payload bidang otomatis DDE di Microsoft Word. Dengan membuka dokumen seperti itu, terlampir dalam email phishing, pengguna yang ceroboh sendiri akan memungkinkan penyerang mendapatkan pijakan di komputernya. Namun, pada akhir 2017, Microsoft menutup celah ini untuk serangan terhadap DDE.
Perbaikan terbaru menambahkan entri registri yang menonaktifkan fitur DDE di Word. Jika Anda masih membutuhkan fungsi ini, maka Anda dapat mengembalikan parameter ini dengan memasukkan fitur-fitur DDE yang lama.

Namun, tambalan asli hanya mencakup Microsoft Word. Apakah kerentanan DDE ini ada di produk Microsoft Office lain yang juga dapat digunakan dalam serangan tanpa kode tambahan? Ya tentu saja Misalnya, Anda juga bisa menemukannya di Excel.

Live DDE Night

Saya ingat bahwa terakhir kali saya menentukan deskripsi scriptlets COM. Saya berjanji bahwa saya akan mendapatkan mereka di artikel ini.

Sementara itu, mari kita cari sisi jahat lain dari DDE dalam versi untuk Excel. Sama seperti di Word, beberapa fitur DDE tersembunyi di Excel memungkinkan Anda untuk mengeksekusi kode tanpa banyak usaha. Sebagai pengguna yang tumbuh di Word, saya terbiasa dengan bidang, tapi saya sama sekali tidak mengetahui fungsi di DDE.

Saya kagum mengetahui bahwa di Excel saya dapat memanggil shell perintah dari sel, seperti yang ditunjukkan di bawah ini:

Tahukah Anda bahwa itu mungkin? Secara pribadi, saya - tidak.

Peluang untuk memulai shell Windows ini diberikan kepada kami oleh DDE. Anda dapat menemukan banyak lainnya
Aplikasi yang bisa Anda sambungkan menggunakan fungsi DDE yang ada di Excel.
Apakah Anda memikirkan hal yang sama yang saya bicarakan?

Biarkan tim kami di sel memulai sesi PowerShell, yang kemudian memuat dan mengeksekusi tautan - ini adalah teknik yang telah kami gunakan. Lihat di bawah ini:

Cukup masukkan sedikit PowerShell untuk memuat dan menjalankan kode jarak jauh di Excel

Tetapi ada nuansa: Anda harus secara eksplisit memasukkan data ini ke dalam sel agar rumus ini dieksekusi di Excel. Jadi bagaimana seorang hacker bisa mengeksekusi perintah DDE ini dari jarak jauh? Faktanya adalah ketika spreadsheet Excel terbuka, Excel akan mencoba memperbarui semua tautan di DDE. Dalam pengaturan Pusat Kepercayaan, sudah lama dimungkinkan untuk menonaktifkan ini atau memperingatkan ketika memperbarui tautan ke sumber data eksternal.

Bahkan tanpa tambalan terbaru, Anda dapat mematikan pembaruan tautan otomatis di DDE

Microsoft awalnya menyarankan perusahaan pada 2017 untuk mematikan pembaruan tautan otomatis untuk mencegah kerentanan DDE di Word dan Excel. Pada Januari 2018, Microsoft merilis patch untuk Excel 2007, 2010 dan 2013, yang menonaktifkan DDE secara default. Artikel Computerworld ini menjelaskan semua detail tambalan.

Tapi bagaimana dengan event log?

Namun Microsoft meninggalkan DDE untuk MS Word dan Excel, sehingga akhirnya mengakui bahwa DDE lebih seperti bug daripada fungsionalitas. Jika, karena alasan tertentu, Anda belum menginstal perbaikan ini, Anda masih dapat mengurangi risiko serangan terhadap DDE dengan menonaktifkan pembaruan tautan otomatis dan termasuk opsi yang meminta pengguna untuk memperbarui tautan saat membuka dokumen dan spreadsheet.

Sekarang, pertanyaan jutaan dolar: jika Anda adalah korban dari serangan ini, akankah sesi PowerShell diluncurkan dari bidang Word atau sel Excel akan ditampilkan di log?

Pertanyaan: Apakah sesi PowerShell masuk melalui DDE dicatat? Jawabannya adalah ya

Saat Anda memulai sesi PowerShell langsung dari sel Excel, dan bukan sebagai makro, Windows akan mencatat peristiwa ini (lihat di atas). Namun, saya tidak berpura-pura mengatakan bahwa akan mudah bagi layanan keamanan untuk menghubungkan semua poin antara sesi PowerShell, dokumen Excel dan pesan email dan memahami di mana serangan itu dimulai. Saya akan kembali ke ini di artikel terakhir dari seri saya yang tidak pernah berakhir tentang malvari yang sulit dipahami.

Bagaimana COM kami?

Dalam artikel sebelumnya , saya menyentuh subjek scriptlets COM. Sendiri, mereka adalah teknologi yang nyaman yang memungkinkan Anda untuk lulus kode, katakanlah, JScript, seperti objek COM. Tetapi kemudian para peretas menemukan skrip, dan ini memungkinkan mereka untuk mendapatkan pijakan di komputer korban tanpa menggunakan alat tambahan. Video konferensi Derbycon ini mendemonstrasikan alat-alat Windows bawaan, seperti regsrv32 dan rundll32, yang menggunakan scriptlets jarak jauh sebagai argumen, dan para peretas pada dasarnya melakukan serangan tanpa bantuan malware. Seperti yang saya tunjukkan terakhir kali, Anda dapat dengan mudah menjalankan perintah PowerShell menggunakan skrip JScript.

Ternyata seorang peneliti yang sangat cerdas menemukan cara untuk menjalankan scriptlet COM dalam dokumen Excel. Dia menemukan bahwa ketika dia mencoba memasukkan tautan ke dokumen atau menggambar ke dalam sel, sebuah paket dimasukkan ke dalamnya. Dan paket ini diam-diam menerima scriptlet jarak jauh sebagai input (lihat di bawah).

Boom! Metode diam diam-diam lain untuk menjalankan shell menggunakan COM scriptlets

Setelah pemeriksaan kode tingkat rendah, peneliti menemukan bahwa ini sebenarnya adalah bug dalam paket perangkat lunak. Itu tidak dimaksudkan untuk menjalankan scriptlets COM, tetapi hanya untuk referensi file. Saya tidak yakin apakah sudah ada patch untuk kerentanan ini. Dalam penelitian saya sendiri di desktop virtual Amazon WorkSpaces dengan Office 2010 yang sudah diinstal, saya dapat mereproduksi hasilnya. Namun, ketika saya mencoba lagi sedikit kemudian, saya tidak berhasil.

Saya benar-benar berharap bahwa saya memberi tahu Anda banyak hal menarik dan pada saat yang sama menunjukkan bahwa peretas dapat menyusup ke perusahaan Anda dengan satu atau lain cara yang serupa. Bahkan jika Anda menginstal semua tambalan Microsoft terbaru, peretas masih memiliki banyak alat untuk diperbaiki dalam sistem: mulai dari makro VBA yang saya gunakan untuk memulai seri ini, hingga beban berbahaya di Word atau Excel.

Dalam artikel (saya berjanji) terakhir dari saga ini, saya akan berbicara tentang bagaimana memberikan perlindungan yang wajar.