Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa. LOLBAS liên quan đến việc sử dụng các tệp nhị phân và tập lệnh đã là một phần của hệ thống được nhắm mục tiêu để khởi chạy các cuộc tấn công, đây là các tệp đã được ký số và có nguồn gốc từ Windows hoặc được tải xuống từ Microsoft. Chúng là những công cụ hợp pháp mà tin tặc có thể lợi dụng để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.

Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký số cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát.

Tệp Office nhị phân​

Dự án LOLBAS hiện tại với hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể cho phép kẻ tấn công thực thi, tải xuống các tệp độc hại hoặc qua mặt danh sách các chương trình tin cậy. Nhà nghiên cứu bảo mật Nir Chako tới từ công ty cung cấp giải pháp xác thực bảo mật tự động Pentera đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ sản phẩm Microsoft Office.

Nguồn tệp thực thi Microsoft Office

Chako đã kiểm tra tất cả chúng theo cách thủ công và phát hiện các tệp bao gồm: “MsoHtmEd.exe”, “MSPub.exe” và  “ProtocolHandler.exe” có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.

Sau đó, Chako phát hiện ra MsoHtmEd giao tiếp với máy chủ thử nghiệm HTTP thông qua gói tin GET request và tải xuống tệp thử nghiệm, ngoài ra tiến trình này cũng có thể được sử dụng để thực thi các tệp. Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn, nhanh hơn.

Chako cho biết khi sử dụng phương pháp tự động này đã tìm được thêm 6 trình tải xuống. Trong một bài đăng trên blog, Chako giải thích thêm các tính năng được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự kiến. Nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.

Những tệp MSPub.exe, Outlook.exe và MSAccess.exe đáng chú ý vì chúng có thể được kẻ tấn công hoặc người kiểm thử sử dụng để tải xuống các tệp của bên thứ ba. MSPub.exe đã được xác nhận có thể tải xuống payload tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.

Nguồn LOLBAS mới​

Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng các tiêu chí LOLBAS, một ví dụ là nền tảng PyCharm phổ biến để lập trình Python.

Tệp thực thi được ký số trong nguồn thư mục cài đặt PyCharm

Thư mục cài đặt PyCharm chứa “elevator.exe” (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao. Một tệp khác trong thư mục PyCharm là “WinProcessListHelper.exe” có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống. Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là “mkpasswd.exe”, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).

Chako cho biết mất 2 tuần để xây dựng một cách tiếp cận chính xác nhằm khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra “toàn bộ nhóm nhị phân của Microsoft” trong khoảng 5 giờ.

Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới. Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.