Списъкът на LOLBAS файловете – легитимни двоични файлове и скриптове, налични в Windows, които могат да бъдат използвани за злонамерени цели, скоро ще включва основните изпълними файлове за клиента за електронна поща Outlook и системата за управление на бази данни Access на Microsoft.

Вече е потвърдено, че основният изпълним файл за приложението Microsoft Publisher може да изтегля полезни товари от отдалечен сървър.

LOLBAS е съкращение от Living-off-the-Land Binaries and Scripts (двоични файлове и скриптове, които не са в системата) и обикновено се описват като подписани файлове, които са или вградени в операционната система Windows, или са изтеглени от Microsoft.

Те са легитимни инструменти, с които хакерите могат да злоупотребяват по време на дейностите след експлоатиране, за да изтеглят и/или стартират  товари, без да задействат защитни механизми.

Според неотдавнашни изследвания дори изпълними файлове, които не са подписани от Microsoft, служат за цели, които са полезни при атаки, например за разузнаване.

Двоични файлове на Microsoft Office

Понастоящем проектът LOLBAS изброява над 150 свързани с Windows двоични файлове, библиотеки и скриптове, които могат да помогнат на нападателите да изпълняват или изтеглят зловредни файлове или да заобиколят списъци с одобрени програми.

Нир Чако, изследовател по сигурността в Pentera, компания, която предоставя автоматизирано решение за валидиране на сигурността, неотдавна се зае да открие нови LOLBAS файлове, като разгледа изпълнимите файлове в пакета Microsoft Office.

Той тества ръчно всички от тях и открива три – MsoHtmEd.exe, MSPub.exe и ProtocolHandler.exe – които могат да се използват като програми за изтегляне от трети страни, като по този начин отговарят на критериите на LOLBAS.

Изследователите споделиха  видеоклип, който показва как MsoHtmEd достига до тестовия HTTP сървър с GET заявка, което показва опит за изтегляне на тестов файл.

По-късно в своето изследване Чако открива, че MsoHtmEd може да се използва и за изпълнение на файлове.

Окуражен от този първоначален успех и вече познавайки алгоритъма за ръчно намиране на подходящите файлове, изследователят разработи скрипт за автоматизиране на процеса на проверка и за по-бързо обхващане на по-голям набор от изпълними файлове.

„Използвайки този автоматизиран метод, успяхме да намерим още шест файла за изтегляне! Общо взето, открихме девет нови изтеглящи устройства! Това е почти 30% увеличение на официалния списък на LOLBAS с изтеглящи устройства“ споделя Нир Чако.

В публикация в блога днес той обяснява подобренията, добавени към скрипта, които позволяват изписването на двоичните файлове в Windows и тестването им за възможности за изтегляне извън предвидената конструкция.

Като цяло изследователят от Pentera е открил 11 нови файла с функционалности за изтегляне и изпълнение, които отговарят на принципите на проекта LOLBAS.

Сред тях се открояват MSPub.exe, Outlook.exe и MSAccess.exe, които нападателят или тестващият проникването може да използва за изтегляне на файлове от трети страни, казва изследователят.

Докато за MSPub е потвърдено, че може да изтегля произволни полезни товари от отдалечен сървър, другите два все още не са добавени в списъка на LOLBAS. Те не са били включени поради техническа грешка, казва Чако.

„Случайно подадох 3 заявки за изтегляне със същия код, който беше ангажиран, така че трябва да ги подам отново по подреден начин, за да могат да бъдат официално включени в проекта. Като оставим настрана чиновническата грешка от моя страна, те ще бъдат част от проекта“. –  споделя още  Нир Чако.

Нови източници на LOLBAS

Освен двоичните файлове на Microsoft, Chako намери и файлове от други разработчици, които отговарят на критериите на LOLBAS, като един от примерите е популярният пакет PyCharm за разработка на Python.

Инсталационната папка на PyCharm съдържа elevator.exe (подписан и проверен от JetBrains), който може да изпълни произволни файлове с повишени привилегии.

Друг файл в директорията PyCharm е WinProcessListHelper.exe, за който Chako казва, че може да служи за разузнавателни цели, като изброява всички процеси, които се изпълняват в системата.

Друг пример за инструмент за разузнаване LOLBAS  е mkpasswd.exe, част от инсталационната папка на Git, който може да предложи целия списък на потребителите и техните идентификатори за сигурност (SID).

Пътешествието на Чако започна с две седмици за формулиране на правилен подход за откриване на нови LOLBAS файлове, в резултат на което бяха открити три.

След като разбра концепцията, той прекара още една седмица в създаване на инструменти за автоматизиране на откриването. Усилията се отплатили, тъй като скриптовете му позволили да премине през „целия пул от двоични файлове на Microsoft“ за около пет часа.

Наградата обаче е още по-голяма. Чако  каза, че разработените от него инструменти могат да работят и на други платформи (например Linux или персонализирани облачни виртуални машини), в сегашното си състояние или с малки модификации, за да се изследват нови територии на LOLBAS.

Все пак познаването на заплахите на LOLBAS може да помогне на защитниците да определят адекватни методологии и механизми за предотвратяване или смекчаване на кибератаките.

Pentera публикува документ с пълни подробности за това как изследователите, червените екипи и защитниците могат да открият нови LOLBAS файлове.