Търсене
Close this search box.

Хакерите могат да злоупотребяват с изпълними файлове на Microsoft Office

Списъкът на LOLBAS файловете – легитимни двоични файлове и скриптове, налични в Windows, които могат да бъдат използвани за злонамерени цели, скоро ще включва основните изпълними файлове за клиента за електронна поща Outlook и системата за управление на бази данни Access на Microsoft.

Вече е потвърдено, че основният изпълним файл за приложението Microsoft Publisher може да изтегля полезни товари от отдалечен сървър.

LOLBAS е съкращение от Living-off-the-Land Binaries and Scripts (двоични файлове и скриптове, които не са в системата) и обикновено се описват като подписани файлове, които са или вградени в операционната система Windows, или са изтеглени от Microsoft.

Те са легитимни инструменти, с които хакерите могат да злоупотребяват по време на дейностите след експлоатиране, за да изтеглят и/или стартират  товари, без да задействат защитни механизми.

Според неотдавнашни изследвания дори изпълними файлове, които не са подписани от Microsoft, служат за цели, които са полезни при атаки, например за разузнаване.

Двоични файлове на Microsoft Office

Понастоящем проектът LOLBAS изброява над 150 свързани с Windows двоични файлове, библиотеки и скриптове, които могат да помогнат на нападателите да изпълняват или изтеглят зловредни файлове или да заобиколят списъци с одобрени програми.

Нир Чако, изследовател по сигурността в Pentera, компания, която предоставя автоматизирано решение за валидиране на сигурността, неотдавна се зае да открие нови LOLBAS файлове, като разгледа изпълнимите файлове в пакета Microsoft Office.

 

Той тества ръчно всички от тях и открива три – MsoHtmEd.exe, MSPub.exe и ProtocolHandler.exe – които могат да се използват като програми за изтегляне от трети страни, като по този начин отговарят на критериите на LOLBAS.

Изследователите споделиха  видеоклип, който показва как MsoHtmEd достига до тестовия HTTP сървър с GET заявка, което показва опит за изтегляне на тестов файл.

По-късно в своето изследване Чако открива, че MsoHtmEd може да се използва и за изпълнение на файлове.

Окуражен от този първоначален успех и вече познавайки алгоритъма за ръчно намиране на подходящите файлове, изследователят разработи скрипт за автоматизиране на процеса на проверка и за по-бързо обхващане на по-голям набор от изпълними файлове.

„Използвайки този автоматизиран метод, успяхме да намерим още шест файла за изтегляне! Общо взето, открихме девет нови изтеглящи устройства! Това е почти 30% увеличение на официалния списък на LOLBAS с изтеглящи устройства“ споделя Нир Чако.

В публикация в блога днес той обяснява подобренията, добавени към скрипта, които позволяват изписването на двоичните файлове в Windows и тестването им за възможности за изтегляне извън предвидената конструкция.

Като цяло изследователят от Pentera е открил 11 нови файла с функционалности за изтегляне и изпълнение, които отговарят на принципите на проекта LOLBAS.

Сред тях се открояват MSPub.exe, Outlook.exe и MSAccess.exe, които нападателят или тестващият проникването може да използва за изтегляне на файлове от трети страни, казва изследователят.

Докато за MSPub е потвърдено, че може да изтегля произволни полезни товари от отдалечен сървър, другите два все още не са добавени в списъка на LOLBAS. Те не са били включени поради техническа грешка, казва Чако.

„Случайно подадох 3 заявки за изтегляне със същия код, който беше ангажиран, така че трябва да ги подам отново по подреден начин, за да могат да бъдат официално включени в проекта. Като оставим настрана чиновническата грешка от моя страна, те ще бъдат част от проекта“. –  споделя още  Нир Чако.

Нови източници на LOLBAS

Освен двоичните файлове на Microsoft, Chako намери и файлове от други разработчици, които отговарят на критериите на LOLBAS, като един от примерите е популярният пакет PyCharm за разработка на Python.

 

Инсталационната папка на PyCharm съдържа elevator.exe (подписан и проверен от JetBrains), който може да изпълни произволни файлове с повишени привилегии.

Друг файл в директорията PyCharm е WinProcessListHelper.exe, за който Chako казва, че може да служи за разузнавателни цели, като изброява всички процеси, които се изпълняват в системата.

Друг пример за инструмент за разузнаване LOLBAS  е mkpasswd.exe, част от инсталационната папка на Git, който може да предложи целия списък на потребителите и техните идентификатори за сигурност (SID).

Пътешествието на Чако започна с две седмици за формулиране на правилен подход за откриване на нови LOLBAS файлове, в резултат на което бяха открити три.

След като разбра концепцията, той прекара още една седмица в създаване на инструменти за автоматизиране на откриването. Усилията се отплатили, тъй като скриптовете му позволили да премине през „целия пул от двоични файлове на Microsoft“ за около пет часа.

Наградата обаче е още по-голяма. Чако  каза, че разработените от него инструменти могат да работят и на други платформи (например Linux или персонализирани облачни виртуални машини), в сегашното си състояние или с малки модификации, за да се изследват нови територии на LOLBAS.

Все пак познаването на заплахите на LOLBAS може да помогне на защитниците да определят адекватни методологии и механизми за предотвратяване или смекчаване на кибератаките.

Pentera публикува документ с пълни подробности за това как изследователите, червените екипи и защитниците могат да открият нови LOLBAS файлове.

 

 

Източник: По материали от Интернет

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!