今天小编分享的互联网经验:黑客可以滥用Microsoft Office可执行檔案下载恶意軟體,欢迎阅读。
LOLBAS 檔案列表是 Windows 中存在的合法二进制檔案和脚本,可以被恶意利用。该檔案列表很快将包括微软的 Outlook 电子邮件客户軟體和 Access 数据库管理系统的主要可执行檔案。
Microsoft Publisher 应用程式的主要可执行檔案已经被确认可以从远程伺服器下载攻击载荷。
LOLBAS 的全称是寄生攻击的二进制檔案和脚本,通常被描述为是 Windows 作業系統原生或从微软下载的已签名檔案。
它们是合法的工具,黑客可以在实施利用后活动的过程中滥用它们,以下载及 / 或运行攻击载荷,而不触发防御机制。
据最近的研究显示,连没有经过微软签名的可执行檔案也可以用于攻击,比如侦察。
Microsoft Office 二进制檔案
LOLBAS 项目目前列出了 150 多个与 Windows 相关的二进制檔案、库和脚本,它们可以帮助攻击者执行或下载恶意檔案,或者绕过已批准的程式列表。
Nir Chako 是提供自动化安全验证解决方案的 Pentera 公司的安全研究员,他最近开始通过查看 Microsoft Office 套件中的可执行檔案来发现新的 LOLBAS 檔案。
图 1. Microsoft Office 可执行檔案(图片来源:Pentera)
他手动测试了所有这些程式,结果找到了三个程式:MsoHtmEd.exe、MSPub.exe 和 ProtocolHandler.exe,它们可以用作第三方檔案的下载程式,因此符合 LOLBAS 的标准。
研究人员分享的一段视频显示,MsoHtmEd 通过 GET 请求联系上测试 HTTP 伺服器,表明试图下载测试檔案。
Chako 后来在研究中发现 MsoHtmEd 还可以用来执行檔案。
图 2
这名研究人员受到这一初步成功的鼓舞,并且已经了知道手动查找适当檔案的算法,随后开发了一个脚本来自动化验证过程,并更快地覆盖数量更多的可执行檔案。
他在近日的一篇博文中解释了添加到脚本中的改进,以便能够列出 Windows 中的二进制檔案,并测试它们超出预期设计的下载功能。
Pentera 的这位研究人员共发现了 11 个具有下载和执行功能的新檔案,这些功能符合 LOLBAS 项目的原则。
这位研究人员表示,最突出的是 MSPub.exe、Outlook.exe 和 MSAccess.exe,攻击者或渗透测试人员可以利用它们下载第三方檔案。
虽然 MSPub 已经被证实可以从远程伺服器下载任意的攻击载荷,但另外两个檔案还没有被添加到 LOLBAS 列表中。Chako 表示,由于技术错误,他们没有被包括在内。
Chako 说:" 我不小心提交了 3 个合并请求,提交的代码都一样,所以我需要有条不紊地再次提交,这样它们才能正式被加入到项目中。要不是我这方面的笔误,它们将成为项目的一部分。"
新的 LOLBAS 来源
除了微软的二进制檔案外,Chako 还发现来自其他开发者的檔案符合 LOLBAS 标准,其中一个例子就是用于 Python 开发的流行的 PyCharm 套件。
图 3. PyCharm 安装檔案夹中已签名的可执行檔案(图片来源:Pentera)
PyCharm 安装檔案夹包含 elevator.exe(由 JetBrains 签名和验证),它可以以提升的权限执行任意檔案。
PyCharm 目录中的另一个檔案是 WinProcessListHelper.exe, Chako 说它可以通过枚举系统上运行的所有进程来实现侦察目的。
他所举的另一个 LOLBAS 侦察工具的例子是 mkpasswd.exe,它是 Git 安装檔案夹的一部分,可以提供用户及其安全标识符(SID)的整份列表。
Chako 花了两周的时间来设计一种正确的方法以发现新的 LOLBAS 檔案,结果发现了三个檔案。
在理解了这个概念之后,他又花了一周的时间来创建自动化发现的工具。他的付出得到了回报,因为这些脚本使他能够在大约 5 个小时内浏览遍 " 整个微软二进制檔案池 "。
不过,回报更大。Chako 告诉我们,他开发的工具还可以在其他平台上运行(比如 Linux 或自定义云虚拟机),无论是在当前状态还是经过微小修改,以便探索新的 LOLBAS 领網域。
然而,了解 LOLBAS 威胁可以帮助防御人员定义适当的方法和机制来预防或减轻网络攻击。
Pentera 发表了一篇论文(https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/),详细介绍了研究人员、红队队员和防御人员如何能找到新的 LOLBAS 檔案。
