Danh sách các tệp LOLBAS – các tệp nhị phân và tập lệnh hợp pháp có trong Windows có thể bị lạm dụng cho mục đích xấu, sẽ sớm bao gồm các tệp thực thi chính cho ứng dụng email Outlook của Microsoft và hệ thống quản lý cơ sở dữ liệu Access.
Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa.
LOLBAS là viết tắt của Living-off-the-Land Binaries and Scripts và thường được mô tả là các tệp đã ký có nguồn gốc từ hệ điều hành Windows hoặc được tải xuống từ Microsoft.
Chúng là những công cụ hợp pháp mà tin tặc có thể lạm dụng trong hoạt động sau khai thác để tải xuống hoặc chạy tải trọng mà không kích hoạt các cơ chế phòng thủ.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký cũng phục vụ các mục đích hữu ích trong các cuộc tấn công, chẳng hạn như các cuộc tấn công với mục đích trinh sát.
Microsoft Office binaries
Dự án LOLBAS hiện liệt kê hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể giúp kẻ tấn công thực thi hoặc tải xuống các tệp độc hại hoặc bỏ qua danh sách các chương trình tin cậy.
Nir Chako, một nhà nghiên cứu bảo mật tại Pentera , một công ty cung cấp giải pháp xác thực bảo mật tự động, gần đây đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ Microsoft Office.
Ông đã kiểm tra tất cả chúng theo cách thủ công và thấy : MsoHtmEd.exe, MSPub.exe và ProtocolHandler.exe – có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
Sau đó trong nghiên cứu của mình, Chako phát hiện ra rằng MsoHtmEd cũng có thể được sử dụng để thực thi các tệp.
Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn nhanh hơn.
Nir Chako cho biết “Sử dụng phương pháp tự động này, chúng tôi đã tìm được thêm sáu trình tải xuống! Nói chung, chúng tôi đã phát hiện ra chín trình tải xuống mới! Đó là mức tăng gần 30% trong danh sách trình tải xuống LOLBAS chính thức ”
Trong một bài đăng trên blog , nhà nghiên cứu giải thích các tinh chỉnh được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra khả năng tải xuống của chúng ngoài thiết kế dự kiến.
Tổng cộng, nhà nghiên cứu Pentera đã phát hiện ra 11 tệp mới có chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
LOLBAS | Functionality | LOLBAS projectStatus |
ProtocolHandler | Download | Accepted |
MSPub | Download | Accepted |
MsoHtmEd | Download, Execute | Accepted |
PresentationHost | Download | Accepted |
ConfigSecurityPolicy | Download | Accepted |
InstallUtil | Download | Accepted |
MSHta | Download | Accepted |
Outlook | Download | Pull Request |
MSAccess | Download | Pull Request |
Sftp | Execute | Pull Request |
Scp | Execute | Pull Request |
Nổi bật là MSPub.exe, Outlook.exe và MSAccess.exe, kẻ tấn công hoặc người kiểm tra thâm nhập có thể sử dụng để tải xuống các tệp của bên thứ ba, nhà nghiên cứu cho biết. MSPub.exe đã được xác nhận có thể tải xuống tải trọng tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Nguồn LOLBAS mới
Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng tiêu chí LOLBAS, một ví dụ là bộ PyCharm phổ biến để phát triển Python.
Thư mục cài đặt PyCharm chứa elevator.exe (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao.
Một tệp khác trong thư mục PyCharm là WinProcessListHelper.exe có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống.
Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là mkpasswd.exe, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Hành trình của Chako bắt đầu với hai tuần để xây dựng một cách tiếp cận chính xác để khám phá các tệp LOLBAS mới, dẫn đến việc tìm thấy ba.
Sau khi hiểu khái niệm này, ông đã dành một tuần nữa để tạo ra các công cụ để tự động hóa việc khám phá. Các công cụ mà ông phát triển cũng có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá lãnh thổ LOLBAS mới.
Tuy nhiên, biết về các mối đe dọa LOLBAS có thể giúp người bảo vệ xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công mạng.