LOLBAS文件列表是Windows中存在的合法二進(jìn)制文件和腳本，可以被惡意利用。該文件列表很快將包括微軟的Outlook電子郵件客戶(hù)軟件和Access數(shù)據(jù)庫(kù)管理系統(tǒng)的主要可執(zhí)行文件。

Microsoft Publisher應(yīng)用程序的主要可執(zhí)行文件已經(jīng)被確認(rèn)可以從遠(yuǎn)程服務(wù)器下載攻擊載荷。

LOLBAS的全稱(chēng)是寄生攻擊的二進(jìn)制文件和腳本，通常被描述為是Windows操作系統(tǒng)原生或從微軟下載的已簽名文件。

它們是合法的工具，黑客可以在實(shí)施利用后活動(dòng)的過(guò)程中濫用它們，以下載及/或運(yùn)行攻擊載荷，而不觸發(fā)防御機(jī)制。

據(jù)最近的研究顯示，連沒(méi)有經(jīng)過(guò)微軟簽名的可執(zhí)行文件也可以用于攻擊，比如偵察。

Microsoft Office二進(jìn)制文件

LOLBAS項(xiàng)目目前列出了150多個(gè)與Windows相關(guān)的二進(jìn)制文件、庫(kù)和腳本，它們可以幫助攻擊者執(zhí)行或下載惡意文件，或者繞過(guò)已批準(zhǔn)的程序列表。

Nir Chako是提供自動(dòng)化安全驗(yàn)證解決方案的Pentera公司的安全研究員，他最近開(kāi)始通過(guò)查看Microsoft Office套件中的可執(zhí)行文件來(lái)發(fā)現(xiàn)新的LOLBAS文件。

圖1. Microsoft Office可執(zhí)行文件（圖片來(lái)源：Pentera）

他手動(dòng)測(cè)試了所有這些程序，結(jié)果找到了三個(gè)程序：MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe，它們可以用作第三方文件的下載程序，因此符合LOLBAS的標(biāo)準(zhǔn)。

研究人員分享的一段視頻顯示，MsoHtmEd通過(guò)GET請(qǐng)求聯(lián)系上測(cè)試HTTP服務(wù)器，表明試圖下載測(cè)試文件。

Chako后來(lái)在研究中發(fā)現(xiàn)MsoHtmEd還可以用來(lái)執(zhí)行文件。

黑客可以濫用Microsoft Office可執(zhí)行文件下載惡意軟件

這名研究人員受到這一初步成功的鼓舞，并且已經(jīng)了知道手動(dòng)查找適當(dāng)文件的算法，隨后開(kāi)發(fā)了一個(gè)腳本來(lái)自動(dòng)化驗(yàn)證過(guò)程，并更快地覆蓋數(shù)量更多的可執(zhí)行文件。

他在近日的一篇博文中解釋了添加到腳本中的改進(jìn)，以便能夠列出Windows中的二進(jìn)制文件，并測(cè)試它們超出預(yù)期設(shè)計(jì)的下載功能。

Pentera的這位研究人員共發(fā)現(xiàn)了11個(gè)具有下載和執(zhí)行功能的新文件，這些功能符合LOLBAS項(xiàng)目的原則。

黑客可以濫用Microsoft Office可執(zhí)行文件下載惡意軟件

這位研究人員表示，最突出的是MSPub.exe、Outlook.exe和MSAccess.exe，攻擊者或滲透測(cè)試人員可以利用它們下載第三方文件。

雖然MSPub已經(jīng)被證實(shí)可以從遠(yuǎn)程服務(wù)器下載任意的攻擊載荷，但另外兩個(gè)文件還沒(méi)有被添加到LOLBAS列表中。Chako表示，由于技術(shù)錯(cuò)誤，他們沒(méi)有被包括在內(nèi)。

Chako說(shuō)：“我不小心提交了3個(gè)合并請(qǐng)求，提交的代碼都一樣，所以我需要有條不紊地再次提交，這樣它們才能正式被加入到項(xiàng)目中。要不是我這方面的筆誤，它們將成為項(xiàng)目的一部分?！?/p>

新的LOLBAS來(lái)源

除了微軟的二進(jìn)制文件外，Chako還發(fā)現(xiàn)來(lái)自其他開(kāi)發(fā)者的文件符合LOLBAS標(biāo)準(zhǔn)，其中一個(gè)例子就是用于Python開(kāi)發(fā)的流行的PyCharm套件。

圖3. PyCharm安裝文件夾中已簽名的可執(zhí)行文件（圖片來(lái)源：Pentera）

PyCharm安裝文件夾包含elevator.exe（由JetBrains簽名和驗(yàn)證），它可以以提升的權(quán)限執(zhí)行任意文件。

PyCharm目錄中的另一個(gè)文件是WinProcessListHelper.exe, Chako說(shuō)它可以通過(guò)枚舉系統(tǒng)上運(yùn)行的所有進(jìn)程來(lái)實(shí)現(xiàn)偵察目的。

他所舉的另一個(gè)LOLBAS偵察工具的例子是mkpasswd.exe，它是Git安裝文件夾的一部分，可以提供用戶(hù)及其安全標(biāo)識(shí)符（SID）的整份列表。

Chako花了兩周的時(shí)間來(lái)設(shè)計(jì)一種正確的方法以發(fā)現(xiàn)新的LOLBAS文件，結(jié)果發(fā)現(xiàn)了三個(gè)文件。

在理解了這個(gè)概念之后，他又花了一周的時(shí)間來(lái)創(chuàng)建自動(dòng)化發(fā)現(xiàn)的工具。他的付出得到了回報(bào)，因?yàn)檫@些腳本使他能夠在大約5個(gè)小時(shí)內(nèi)瀏覽遍“整個(gè)微軟二進(jìn)制文件池”。

不過(guò)，回報(bào)更大。Chako告訴我們，他開(kāi)發(fā)的工具還可以在其他平臺(tái)上運(yùn)行（比如Linux或自定義云虛擬機(jī)），無(wú)論是在當(dāng)前狀態(tài)還是經(jīng)過(guò)微小修改，以便探索新的LOLBAS領(lǐng)域。

然而，了解LOLBAS威脅可以幫助防御人員定義適當(dāng)?shù)姆椒ê蜋C(jī)制來(lái)預(yù)防或減輕網(wǎng)絡(luò)攻擊。

Pentera發(fā)表了一篇論文（https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/），詳細(xì)介紹了研究人員、紅隊(duì)隊(duì)員和防御人員如何能找到新的LOLBAS文件。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/如若轉(zhuǎn)載，請(qǐng)注明原文地址