Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa. LOLBAS liên quan đến việc sử dụng các tệp nhị phân và tập lệnh đã là một phần của hệ thống được nhắm mục tiêu để khởi chạy các cuộc tấn công, đây là các tệp đã được ký số và có nguồn gốc từ Windows hoặc được tải xuống từ Microsoft. Chúng là những công cụ hợp pháp mà tin tặc có thể lợi dụng để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký số cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát.
Tệp Office nhị phân
Dự án LOLBAS hiện tại với hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể cho phép kẻ tấn công thực thi, tải xuống các tệp độc hại hoặc qua mặt danh sách các chương trình tin cậy. Nhà nghiên cứu bảo mật Nir Chako tới từ công ty cung cấp giải pháp xác thực bảo mật tự động Pentera đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ sản phẩm Microsoft Office.
Nguồn tệp thực thi Microsoft Office
Chako đã kiểm tra tất cả chúng theo cách thủ công và phát hiện các tệp bao gồm: “MsoHtmEd.exe”, “MSPub.exe” và “ProtocolHandler.exe” có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
Sau đó, Chako phát hiện ra MsoHtmEd giao tiếp với máy chủ thử nghiệm HTTP thông qua gói tin GET request và tải xuống tệp thử nghiệm, ngoài ra tiến trình này cũng có thể được sử dụng để thực thi các tệp. Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn, nhanh hơn.
Chako cho biết khi sử dụng phương pháp tự động này đã tìm được thêm 6 trình tải xuống. Trong một bài đăng trên blog, Chako giải thích thêm các tính năng được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự kiến. Nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
Những tệp MSPub.exe, Outlook.exe và MSAccess.exe đáng chú ý vì chúng có thể được kẻ tấn công hoặc người kiểm thử sử dụng để tải xuống các tệp của bên thứ ba. MSPub.exe đã được xác nhận có thể tải xuống payload tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Nguồn LOLBAS mới
Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng các tiêu chí LOLBAS, một ví dụ là nền tảng PyCharm phổ biến để lập trình Python.
Tệp thực thi được ký số trong nguồn thư mục cài đặt PyCharm
Thư mục cài đặt PyCharm chứa “elevator.exe” (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao. Một tệp khác trong thư mục PyCharm là “WinProcessListHelper.exe” có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống. Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là “mkpasswd.exe”, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Chako cho biết mất 2 tuần để xây dựng một cách tiếp cận chính xác nhằm khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra “toàn bộ nhóm nhị phân của Microsoft” trong khoảng 5 giờ.
Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới. Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.
Hồng Đạt
(Bleepingcomputer)
10:00 | 20/09/2021
09:00 | 19/07/2023
14:00 | 04/10/2023
14:00 | 11/10/2023
13:00 | 14/09/2021
10:00 | 23/08/2024
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
15:00 | 26/07/2024
Ngày 20/7, cảnh sát Tây Ban Nha thông báo đã bắt giữ ba tin tặc được cho là thực hiện vụ tấn công mạng nhằm vào Tây Ban Nha và các nước thành viên khác trong Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) với các mục đích khủng bố.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024