今天小編分享的互聯網經驗:黑客可以濫用Microsoft Office可執行檔案下載惡意軟體,歡迎閲讀。
LOLBAS 檔案列表是 Windows 中存在的合法二進制檔案和腳本,可以被惡意利用。該檔案列表很快将包括微軟的 Outlook 電子郵件客户軟體和 Access 數據庫管理系統的主要可執行檔案。
Microsoft Publisher 應用程式的主要可執行檔案已經被确認可以從遠程伺服器下載攻擊載荷。
LOLBAS 的全稱是寄生攻擊的二進制檔案和腳本,通常被描述為是 Windows 作業系統原生或從微軟下載的已籤名檔案。
它們是合法的工具,黑客可以在實施利用後活動的過程中濫用它們,以下載及 / 或運行攻擊載荷,而不觸發防御機制。
據最近的研究顯示,連沒有經過微軟籤名的可執行檔案也可以用于攻擊,比如偵察。
Microsoft Office 二進制檔案
LOLBAS 項目目前列出了 150 多個與 Windows 相關的二進制檔案、庫和腳本,它們可以幫助攻擊者執行或下載惡意檔案,或者繞過已批準的程式列表。
Nir Chako 是提供自動化安全驗證解決方案的 Pentera 公司的安全研究員,他最近開始通過查看 Microsoft Office 套件中的可執行檔案來發現新的 LOLBAS 檔案。
圖 1. Microsoft Office 可執行檔案(圖片來源:Pentera)
他手動測試了所有這些程式,結果找到了三個程式:MsoHtmEd.exe、MSPub.exe 和 ProtocolHandler.exe,它們可以用作第三方檔案的下載程式,因此符合 LOLBAS 的标準。
研究人員分享的一段視頻顯示,MsoHtmEd 通過 GET 請求聯系上測試 HTTP 伺服器,表明試圖下載測試檔案。
Chako 後來在研究中發現 MsoHtmEd 還可以用來執行檔案。
圖 2
這名研究人員受到這一初步成功的鼓舞,并且已經了知道手動查找适當檔案的算法,随後開發了一個腳本來自動化驗證過程,并更快地覆蓋數量更多的可執行檔案。
他在近日的一篇博文中解釋了添加到腳本中的改進,以便能夠列出 Windows 中的二進制檔案,并測試它們超出預期設計的下載功能。
Pentera 的這位研究人員共發現了 11 個具有下載和執行功能的新檔案,這些功能符合 LOLBAS 項目的原則。
這位研究人員表示,最突出的是 MSPub.exe、Outlook.exe 和 MSAccess.exe,攻擊者或滲透測試人員可以利用它們下載第三方檔案。
雖然 MSPub 已經被證實可以從遠程伺服器下載任意的攻擊載荷,但另外兩個檔案還沒有被添加到 LOLBAS 列表中。Chako 表示,由于技術錯誤,他們沒有被包括在内。
Chako 説:" 我不小心提交了 3 個合并請求,提交的代碼都一樣,所以我需要有條不紊地再次提交,這樣它們才能正式被加入到項目中。要不是我這方面的筆誤,它們将成為項目的一部分。"
新的 LOLBAS 來源
除了微軟的二進制檔案外,Chako 還發現來自其他開發者的檔案符合 LOLBAS 标準,其中一個例子就是用于 Python 開發的流行的 PyCharm 套件。
圖 3. PyCharm 安裝檔案夾中已籤名的可執行檔案(圖片來源:Pentera)
PyCharm 安裝檔案夾包含 elevator.exe(由 JetBrains 籤名和驗證),它可以以提升的權限執行任意檔案。
PyCharm 目錄中的另一個檔案是 WinProcessListHelper.exe, Chako 説它可以通過枚舉系統上運行的所有進程來實現偵察目的。
他所舉的另一個 LOLBAS 偵察工具的例子是 mkpasswd.exe,它是 Git 安裝檔案夾的一部分,可以提供用户及其安全标識符(SID)的整份列表。
Chako 花了兩周的時間來設計一種正确的方法以發現新的 LOLBAS 檔案,結果發現了三個檔案。
在理解了這個概念之後,他又花了一周的時間來創建自動化發現的工具。他的付出得到了回報,因為這些腳本使他能夠在大約 5 個小時内浏覽遍 " 整個微軟二進制檔案池 "。
不過,回報更大。Chako 告訴我們,他開發的工具還可以在其他平台上運行(比如 Linux 或自定義雲虛拟機),無論是在當前狀态還是經過微小修改,以便探索新的 LOLBAS 領網域。
然而,了解 LOLBAS 威脅可以幫助防御人員定義适當的方法和機制來預防或減輕網絡攻擊。
Pentera 發表了一篇論文(https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/),詳細介紹了研究人員、紅隊隊員和防御人員如何能找到新的 LOLBAS 檔案。
