你好,游客 登录 注册 搜索

背景:
阅读内容

针对Office 发动DDE攻击

[日期:2018-03-04] 来源:手机信息验证送38彩金报  作者: [字体: ]

 

      懂安全的都知道,在OffICe中执行任意代码往往是通过宏命令来实现的。有没有其他方法呢?这个问题国外的黑客琢磨一番,最近发现了一种利用DDE(动态数据交换)协议来执行任意代码的方法,被称之为DDE攻击。下面,我们就来看看这种攻击是怎么实现的。

      如果是在Word中,通过formula命令嵌入payload命令({DDEAUTO c:\\Windows\\system32\\cmd.exe "/k calc.exe"}),保存后下次打开Word文件时就会弹出一个对话框。如果用户选择“是”,则payload命令就会被执行,弹出CMD窗口。如果是在Excel,则可以直接就命令输入单元格,以AI为例,输入=cmd|'/c calc.exe'!A1,保存后下次打开用户选择“是”就可以弹出CMD窗口——其实命令还是通过formula来执行的。当然Outlook等Office的其他组件也可以通过这个方法来执行任意代码。

针对Office 发动DDE攻击

恶意代码通过formula来执行

为什么是弹出CMD窗口呢?上面是举了一个最简单的例子,大家想想,如果弹出的不是CMD窗口而是键盘记录器会是一种什么样的体验!是不是危险性马上就暴涨了!至于复杂的攻击代码肯定要复杂一些,这就就不多说了。另外,这个攻击缺陷也很明显,那就是需要弹出一个对话框,必须要用户同意才能执行代码,而宏代码则不需要(必须事前开启这个功能,否则也要弹出对话框)。这个攻击的思路很有创新,不过要防范也很简单,安全软件扫描时额外留意一下文件是不是加载了payload命令,如果加载了就提示风险即可。


     往下看有更多相关资料

推荐文章 收藏 推荐 打印 | 整理:mengyan | 阅读:
本文评论   查看全部评论 (0)
表情: 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
专题文章
热门评论

博聚网