Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa. LOLBAS liên quan đến việc sử dụng các tệp nhị phân và tập lệnh đã là một phần của hệ thống được nhắm mục tiêu để khởi chạy các cuộc tấn công, đây là các tệp đã được ký số và có nguồn gốc từ Windows hoặc được tải xuống từ Microsoft. Chúng là những công cụ hợp pháp mà tin tặc có thể lợi dụng để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký số cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát.
Tệp Office nhị phân
Dự án LOLBAS hiện tại với hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể cho phép kẻ tấn công thực thi, tải xuống các tệp độc hại hoặc qua mặt danh sách các chương trình tin cậy. Nhà nghiên cứu bảo mật Nir Chako tới từ công ty cung cấp giải pháp xác thực bảo mật tự động Pentera đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ sản phẩm Microsoft Office.
Nguồn tệp thực thi Microsoft Office
Chako đã kiểm tra tất cả chúng theo cách thủ công và phát hiện các tệp bao gồm: “MsoHtmEd.exe”, “MSPub.exe” và “ProtocolHandler.exe” có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
Sau đó, Chako phát hiện ra MsoHtmEd giao tiếp với máy chủ thử nghiệm HTTP thông qua gói tin GET request và tải xuống tệp thử nghiệm, ngoài ra tiến trình này cũng có thể được sử dụng để thực thi các tệp. Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn, nhanh hơn.
Chako cho biết khi sử dụng phương pháp tự động này đã tìm được thêm 6 trình tải xuống. Trong một bài đăng trên blog, Chako giải thích thêm các tính năng được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự kiến. Nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
Những tệp MSPub.exe, Outlook.exe và MSAccess.exe đáng chú ý vì chúng có thể được kẻ tấn công hoặc người kiểm thử sử dụng để tải xuống các tệp của bên thứ ba. MSPub.exe đã được xác nhận có thể tải xuống payload tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Nguồn LOLBAS mới
Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng các tiêu chí LOLBAS, một ví dụ là nền tảng PyCharm phổ biến để lập trình Python.
Tệp thực thi được ký số trong nguồn thư mục cài đặt PyCharm
Thư mục cài đặt PyCharm chứa “elevator.exe” (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao. Một tệp khác trong thư mục PyCharm là “WinProcessListHelper.exe” có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống. Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là “mkpasswd.exe”, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Chako cho biết mất 2 tuần để xây dựng một cách tiếp cận chính xác nhằm khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra “toàn bộ nhóm nhị phân của Microsoft” trong khoảng 5 giờ.
Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới. Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.
Hồng Đạt
(Bleepingcomputer)
10:00 | 20/09/2021
09:00 | 19/07/2023
14:00 | 04/10/2023
14:00 | 11/10/2023
13:00 | 14/09/2021
10:00 | 23/08/2024
15:00 | 24/12/2024
Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025