Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa. LOLBAS liên quan đến việc sử dụng các tệp nhị phân và tập lệnh đã là một phần của hệ thống được nhắm mục tiêu để khởi chạy các cuộc tấn công, đây là các tệp đã được ký số và có nguồn gốc từ Windows hoặc được tải xuống từ Microsoft. Chúng là những công cụ hợp pháp mà tin tặc có thể lợi dụng để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký số cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát.
Tệp Office nhị phân
Dự án LOLBAS hiện tại với hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể cho phép kẻ tấn công thực thi, tải xuống các tệp độc hại hoặc qua mặt danh sách các chương trình tin cậy. Nhà nghiên cứu bảo mật Nir Chako tới từ công ty cung cấp giải pháp xác thực bảo mật tự động Pentera đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ sản phẩm Microsoft Office.
Nguồn tệp thực thi Microsoft Office
Chako đã kiểm tra tất cả chúng theo cách thủ công và phát hiện các tệp bao gồm: “MsoHtmEd.exe”, “MSPub.exe” và “ProtocolHandler.exe” có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
Sau đó, Chako phát hiện ra MsoHtmEd giao tiếp với máy chủ thử nghiệm HTTP thông qua gói tin GET request và tải xuống tệp thử nghiệm, ngoài ra tiến trình này cũng có thể được sử dụng để thực thi các tệp. Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn, nhanh hơn.
Chako cho biết khi sử dụng phương pháp tự động này đã tìm được thêm 6 trình tải xuống. Trong một bài đăng trên blog, Chako giải thích thêm các tính năng được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự kiến. Nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
Những tệp MSPub.exe, Outlook.exe và MSAccess.exe đáng chú ý vì chúng có thể được kẻ tấn công hoặc người kiểm thử sử dụng để tải xuống các tệp của bên thứ ba. MSPub.exe đã được xác nhận có thể tải xuống payload tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Nguồn LOLBAS mới
Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng các tiêu chí LOLBAS, một ví dụ là nền tảng PyCharm phổ biến để lập trình Python.
Tệp thực thi được ký số trong nguồn thư mục cài đặt PyCharm
Thư mục cài đặt PyCharm chứa “elevator.exe” (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao. Một tệp khác trong thư mục PyCharm là “WinProcessListHelper.exe” có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống. Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là “mkpasswd.exe”, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Chako cho biết mất 2 tuần để xây dựng một cách tiếp cận chính xác nhằm khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra “toàn bộ nhóm nhị phân của Microsoft” trong khoảng 5 giờ.
Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới. Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.
Hồng Đạt
(Bleepingcomputer)
10:00 | 20/09/2021
14:00 | 04/10/2023
14:00 | 11/10/2023
13:00 | 14/09/2021
09:00 | 19/07/2023
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024