难以捉摸的马尔瓦里历险记，第五部分：更多的DDE和COM脚本

本文是无文件恶意软件系列的一部分。 该系列的所有其他部分：

• 难以捉摸的马尔瓦里历险记，第一部分
• 难以捉摸的马尔瓦里历险记，第二部分：VBA秘密脚本
• 难以捉摸的马尔瓦里历险记，第三部分：复杂的VBA脚本，为笑声和利润
• 难以捉摸的马尔瓦里历险记，第四部分：DDE和Word文档字段
• 难以捉摸的马尔瓦里历险记，第五部分：更多DDE和COM脚本 （我们在这里）

在本系列文章中，我们将研究涉及黑客最少努力的攻击方法。 在上一篇文章中，我们研究了如何在Microsoft Word中将代码嵌入自动DDE字段的有效负载中。 通过打开包含在网络钓鱼电子邮件中的此类文档，粗心的用户本人将允许攻击者在其计算机上立足。 但是，在2017年底，微软关闭了针对DDE攻击的漏洞。
此修补程序添加一个注册表项，该注册表项禁用Word中的DDE功能 。 如果仍然需要此功能，则可以通过包含旧的DDE功能来返回此参数。

但是，原始修补程序仅涵盖Microsoft Word。 这些其他Microsoft Office产品中是否存在这些DDE漏洞，这些漏洞也可以在没有额外代码的情况下用于攻击？ 当然可以 例如，您也可以在Excel中找到它们。

现场DDE之夜

我记得上一次我对COM脚本的描述感到满意。 我保证我会在本文中找到他们。

同时，让我们找出Excel版本中DDE的另一个弊端。 就像在Word中一样， Excel中的一些隐藏的DDE功能使您无需费力即可执行代码。 作为一个在Word上长大的用户，我熟悉领域，但是我完全不了解DDE中的功能。

令我惊讶的是，我可以在Excel中从单元格调用命令外壳，如下所示：

您知道有可能吗？ 我个人-不。

DDE向我们提供了启动Windows Shell的机会。 您可以提出许多其他建议
您可以使用Excel内置的DDE功能连接到的应用程序。
你觉得我在说同样的话吗？

让我们的团队在一个单元中启动PowerShell会话，然后该会话加载并执行链接-这是我们已经使用的技术 。 见下面：

只需插入一点PowerShell即可在Excel中加载和执行远程代码

但是有一个细微差别：您必须将此数据显式输入到单元格中，此公式才能在Excel中执行。 那么，黑客如何远程执行此DDE命令？ 事实是，当打开Excel电子表格时，Excel将尝试更新DDE中的所有链接。 在“信任中心”设置中，很长时间以来就可以禁用此功能或在更新到外部数据源的链接时发出警告。

即使没有最新的修补程序，也可以在DDE中关闭自动链接更新。

微软最初在2017年建议公司关闭自动链接更新，以防止Word和Excel中的DDE漏洞。 在2018年1月，Microsoft发布了Excel 2007、2010和2013的修补程序，默认情况下禁用DDE。 这篇Computerworld 文章描述了修补程序的所有详细信息。

但是事件日志呢？

尽管如此，Microsoft还是放弃了MS Word和Excel的DDE，从而最终承认DDE更像是一个错误而不是功能。 如果由于某种原因尚未安装这些修补程序，则可以通过禁用自动链接更新并打开在打开文档和电子表格时提示用户更新链接的设置，来降低遭受DDE攻击的风险。

现在，有一百万美元的问题：如果您是此攻击的受害者，将从Word字段或Excel单元启动的PowerShell会话是否会显示在日志中？

问题：是否通过DDE登录了PowerShell会话？ 答案是肯定的

当您直接从Excel单元而不是作为宏启动PowerShell会话时，Windows将记录这些事件（请参见上文）。 但是，我并不假装说安全服务很容易将PowerShell会话，Excel文档和邮件之间的所有点连接起来，并了解攻击的起点。 我将在我那无休止的系列的最后一篇文章中谈到难以捉摸的马尔瓦里问题，回到这一点。

我们的COM怎么样？

在上一篇文章中，我谈到了COM scriptlet的主题。 就其本身而言，它们是一种便捷的技术 ，使您可以像COM对象一样传递代码（例如JScript）。 但是随后，黑客发现了脚本，这使他们无需使用额外的工具即可在受害者的计算机上立足。 来自Derbycon会议的视频演示了Windows内置工具，例如regsrv32和rundll32，它们将远程脚本作为参数，并且黑客基本上在没有恶意软件帮助的情况下进行了攻击。 如我上次所示，您可以使用JScript scriptlet轻松运行PowerShell命令。

原来，一个非常聪明的研究人员找到了一种在 Excel文档中运行COM scriptlet的方法。 他发现，当他尝试将指向文档或工程图的链接插入单元格时，便在其中插入了一个包装。 这个包悄悄地接受一个远程脚本作为输入（见下文）。

oom！ 另一种隐秘的静默方法，可使用COM脚本运行外壳程序

经过低级代码检查后，研究人员发现这实际上是软件包中的错误 。 它并非旨在运行COM脚本，而仅用于文件引用。 我不确定此漏洞是否已存在补丁。 在我对预装Office 2010的Amazon WorkSpaces虚拟桌面的研究中，我能够重现其结果。 但是，当我稍后再试时，我没有成功。

我真的希望我告诉您很多有趣的事情，同时希望黑客能够以一种或另一种方式渗透到您的公司。 即使您安装了所有最新的Microsoft补丁程序，黑客也仍然可以在系统中修复很多工具：从启动本系列文章的VBA宏开始，直到Word或Excel中的恶意负载。

在这一传奇的最后一篇文章（我保证）中，我将讨论如何提供合理的保护。