IT-kriminelle har fundet en ny angrebsmetode gennem Microsoft Office-eksekverbare filer, der bruger dem til at lette malware-downloads.
Listen over Living-off-the-Land Binaries and Scripts (LOLBAS) - uskadelige filer på Windows, der kan misbruges til ondsindede formål - er ved at blive udvidet til at omfatte kerneeksekverbare filer fra Microsofts Outlook-e-mail-klient og Access-databasestyringssystem.
Allerede bekræftet er evnen af Microsoft Publisher-applikationens primære eksekverbare til at hente nyttelaster fra fjernservere. LOLBAS-filer, i det væsentlige legitime binære filer og scripts, der er hjemmehørende i eller hentet fra Microsoft, fungerer som værktøjer, som hackere kan udnytte i efterudnyttelsesfaserne, hvilket giver dem mulighed for diskret at downloade og køre nyttelaster uden at vække forsvarsmekanismer.
Selv usignerede eksekverbare filer ramt
I en nylig udvikling har selv Microsoft-usignerede eksekverbare dokumenter vist værdi i angreb, især til rekognosceringsformål. Denne tendens understreger den bredere anvendelighed af disse filer i ondsindede aktiviteter.
Under LOLBAS-projektet er en omfattende samling af over 150 Windows-relaterede binære filer, biblioteker og scripts blevet identificeret, hver med potentiale til at hjælpe angribere med at eksekvere eller downloade skadelige filer, mens lister over godkendte programmer omgås.
Pantera afdækker problemet
Sikkerhedsforsker Nir Chako fra Pentera, en virksomhed med speciale i automatiseret sikkerhedsvalidering, påbegyndte en søgen efter at afdække nye LOLBAS-filer. Hans fokus var på at granske de eksekverbare filer i Microsoft Office-pakken. Gennem manuel test fandt han tre eksekverbare filer - MsoHtmEd.exe, MSPub.exe og ProtocolHandler.exe - i stand til at fungere som tredjeparts fildownloadere, i overensstemmelse med LOLBAS-kriterierne.
I en demonstration delt med BleepingComputer udviste Chako MsoHtmEds evne til at kontakte en test-HTTP-server via en GET-anmodning, hvilket indikerer et downloadforsøg.
Med udgangspunkt i denne indledende succes udtænkte Chako et script til at automatisere verifikationsprocessen, hvilket muliggjorde bredere dækning af eksekverbare filer på kortere tid. Det raffinerede script identificerede 11 nye filer, der udviser download- og eksekveringsfunktioner i overensstemmelse med LOLBAS-projektets principper. Særligt bemærkelsesværdige var MSPub.exe, Outlook.exe og MSAccess.exe, som alle potentielt kan udnyttes til at downloade tredjepartsfiler.
Mens MSPub.exes potentiale for at downloade vilkårlige nyttelaster fra fjernservere er blevet valideret, afventer status for Outlook.exe og MSAccess.exe tilføjelse til LOLBAS-listen på grund af et teknisk problem, som rapporteret af Chako.
Chakos undersøgelser strakte sig ud over Microsofts binære filer. Han udgravede filer fra forskellige udviklere, der opfyldte LOLBAS-kriterierne, såsom den signerede og verificerede "elevator.exe", der findes i PyCharm-pakken til Python-udvikling. Denne fil kan udføre vilkårlig kode med forhøjede rettigheder. Yderligere tjener "WinProcessListHelper.exe" i PyCharm-biblioteket rekognosceringsformål ved at katalogisere alle aktive processer på et system. Derudover identificerede han "mkpasswd.exe" i Git installationsmappen, der er i stand til at afsløre en omfattende liste over brugere og deres sikkerhedsidentifikatorer (SID'er).
Chakos rejse startede med to ugers formulering af en effektiv tilgang, der i sidste ende gav tre LOLBAS-filer. En efterfølgende uge blev afsat til at lave automatiserede værktøjer til opdagelse. Resultaterne var lovende, da disse værktøjer fremskyndede en evaluering af "hele puljen af Microsoft-binære filer" på omkring fem timer.
Desuden bekræftede Chako, at disse værktøjer kan overføres til andre platforme som Linux eller brugerdefinerede virtuelle cloud-maskiner, enten som de er eller med mindre justeringer, for at udforske ukendt LOLBAS-terræn.
Forståelse af LOLBAS-truslen udstyrer forsvarere med den indsigt, der er nødvendig for at udtænke passende metoder og mekanismer til at forhindre eller afbøde potentielle cyberangreb.
Comments