Este artigo faz parte da série Fileless Malware. Todas as outras partes da série:
Nesta série de artigos, estudamos métodos de ataque que envolvem o mínimo esforço dos hackers. Em um
artigo anterior
, vimos como você pode incorporar código na carga útil de um campo DDE automático no Microsoft Word. Ao abrir um documento como esse, incluído em um email de phishing, um usuário descuidado permitirá que o invasor se estabeleça em seu computador. No entanto, no final de 2017, a Microsoft
fechou essa brecha para ataques ao DDE.
O hotfix adiciona uma entrada do Registro que desabilita os
recursos DDE no Word. Se você ainda precisar dessa funcionalidade, poderá retornar esse parâmetro incluindo os recursos antigos do DDE.
No entanto, o patch original cobria apenas o Microsoft Word. Essas vulnerabilidades do DDE existem em outros produtos do Microsoft Office que também podem ser usados em ataques sem código extra? Sim claro. Por exemplo, você também pode encontrá-los no Excel.
Live DDE Night
Lembro que da última vez que decidi pela descrição dos scripts de COM. Prometo que chegarei a eles neste artigo.
Enquanto isso, vamos descobrir outro lado ruim do DDE na versão para Excel. Assim como no Word, alguns dos
recursos ocultos de DDE no Excel permitem executar código sem muito esforço. Como usuário que cresceu no Word, eu conhecia os campos, mas não tinha conhecimento das funções do DDE.
Fiquei surpreso ao saber que, no Excel, posso chamar um shell de comando de uma célula, como mostrado abaixo:
Você sabia que isso era possível? Pessoalmente, eu - não.
Essa oportunidade de iniciar o shell do Windows foi gentilmente fornecida pelo DDE. Você pode criar muitas outras
Aplicativos aos quais você pode se conectar usando as funções DDE incorporadas ao Excel.
Você acha a mesma coisa que eu estou falando?
Deixe nossa equipe em uma célula iniciar uma sessão do PowerShell, que carrega e executa o link - esta é a
técnica que já usamos. Veja abaixo:
Basta inserir um pouco do PowerShell para carregar e executar código remoto no Excel
Mas há uma nuance: você deve inserir explicitamente esses dados na célula para que essa fórmula seja executada no Excel. Então, como um hacker pode executar esse comando DDE remotamente? O fato é que, quando a planilha do Excel estiver aberta, o Excel tentará atualizar todos os links no DDE. Nas configurações da Central de Confiabilidade, há muito tempo é possível desativar isso ou avisar ao atualizar links para fontes de dados externas.
Mesmo sem os patches mais recentes, você pode desativar as atualizações automáticas de links no DDE
A Microsoft inicialmente
aconselhou as empresas em 2017 a desativar as atualizações automáticas de links para evitar vulnerabilidades DDE no Word e Excel. Em janeiro de 2018, a Microsoft lançou patches para o Excel 2007, 2010 e 2013, que desabilitam o DDE por padrão. Este
artigo da Computerworld descreve todos os detalhes de um patch.
Mas e os logs de eventos?
A Microsoft, no entanto, abandonou o DDE para MS Word e Excel, reconhecendo, finalmente, que o DDE é mais um bug do que uma funcionalidade. Se, por algum motivo, você ainda não instalou essas correções, ainda poderá reduzir o risco de um ataque ao DDE desativando as atualizações automáticas de links e ativando as configurações que solicitam aos usuários que atualizem os links ao abrir documentos e planilhas.
Agora, uma pergunta de um milhão de dólares: se você é vítima desse ataque, as sessões do PowerShell iniciadas nos campos do Word ou nas células do Excel serão exibidas no log?
Pergunta: As sessões do PowerShell estão conectadas através do DDE? A resposta é sim
Quando você inicia as sessões do PowerShell diretamente de uma célula do Excel, e não como uma macro, o Windows registra esses eventos (veja acima). No entanto, não pretendo dizer que será fácil para o serviço de segurança conectar todos os pontos entre a sessão do PowerShell, o documento do Excel e a mensagem de email e entender onde o ataque começou. Voltarei a isso no último artigo da minha série interminável sobre os malvari indescritíveis.
Como está o nosso COM?
Em um
artigo anterior
, eu toquei no assunto dos scriptlets COM. Por si só, são uma
tecnologia conveniente que permite a você passar código, por exemplo, JScript, como um objeto COM. Mas então os hackers descobriram os scriptlets, e isso lhes permitiu ganhar uma posição no computador da vítima sem o uso de ferramentas extras. Este
vídeo da conferência Derbycon demonstra ferramentas internas do Windows, como regsrv32 e rundll32, que tomam scriptlets remotos como argumentos, e os hackers essencialmente executam seu ataque sem a ajuda de malware. Como mostrei na última vez, você pode executar facilmente comandos do PowerShell usando um scriptlet JScript.
Descobriu-se que um
pesquisador muito inteligente encontrou uma maneira de executar um scriptlet COM
em um documento do Excel. Ele descobriu que, quando tentava inserir um link em um documento ou desenho em uma célula, um pacote era inserido nele. E este pacote aceita silenciosamente um scriptlet remoto como entrada (veja abaixo).
Boom! Outro método silencioso furtivo para executar um shell usando scriptlets COM
Após uma inspeção de código de baixo nível, o pesquisador descobriu que esse é realmente um
bug no pacote de software. Não se destinava a executar scriptlets COM, mas apenas para referências de arquivo. Não tenho certeza se já existe um patch para esta vulnerabilidade. Em minha própria pesquisa na área de trabalho virtual do Amazon WorkSpaces com o Office 2010 pré-instalado, consegui reproduzir seus resultados. No entanto, quando tentei novamente um pouco mais tarde, não consegui.
Espero realmente contar muitas coisas interessantes e, ao mesmo tempo, mostrar que os hackers podem se infiltrar na sua empresa de uma ou outra maneira semelhante. Mesmo se você instalar todos os patches mais recentes da Microsoft, os hackers ainda terão muitas ferramentas para corrigir no sistema: a partir das macros do VBA com as quais iniciei esta série e até a carga maliciosa no Word ou Excel.
No último artigo (prometo) desta saga, falarei sobre como fornecer proteção razoável.