-
18/08/2021
-
45
-
73 bài viết
Tin tặc có thể lợi dụng Microsoft Office để tải xuống phần mềm độc hại
Danh sách các tệp LOLBAS - các tệp nhị phân và tập lệnh hợp pháp có trong Windows có thể bị sử dụng cho mục đích xấu, bao gồm các tệp thực thi của ứng dụng Outlook và Access.
Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa.
LOLBAS (Living Off The Land Binaries and Scripts - danh sách các công cụ được sử dụng bởi kẻ tấn công) là các tệp đã ký (signed) và có nguồn gốc từ hệ điều hành Windows hoặc được tải xuống từ Microsoft.
Chúng là những công cụ hợp pháp mà tin tặc có thể lạm dụng trong hoạt động sau khai thác để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát.
Nhà nghiên cứu Nir Chako đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ Microsoft Office.
Chako đã kiểm tra tất cả chúng theo cách thủ công và thấy: MsoHtmEd.exe, MSPub.exe và ProtocolHandler.exe có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
Sau đó, Chako phát hiện ra MsoHtmEd cũng có thể được sử dụng để thực thi các tệp do MsoHtmEd tiếp cận máy chủ HTTP thử nghiệm với yêu cầu GET và tải xuống tệp thử nghiệm.
Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn nhanh hơn.
Nir Chako cho biết: "Sử dụng phương pháp tự động này, chúng tôi đã tìm được thêm 6 trình tải xuống. Nói chung, chúng tôi đã phát hiện ra 9 trình tải xuống mới! Đó là mức tăng gần 30% trong danh sách trình tải xuống LOLBAS chính thức".
Trong một bài đăng trên blog, ông giải thích thêm các tinh chỉnh được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự định.
Tổng cộng, nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
Những tệp MSPub.exe, Outlook.exe và MSAccess.exe đáng chú ý vì chúng có thể được kẻ tấn công hoặc kiểm tra thâm nhập viên sử dụng để tải xuống các tệp của bên thứ ba.
MSPub.exe đã được xác nhận có thể tải xuống tải trọng tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Thư mục cài đặt PyCharm chứa elevator.exe (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao.
Một tệp khác trong thư mục PyCharm là WinProcessListHelper.exe có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống.
Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là mkpasswd.exe, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Chako mất 2 tuần để xây dựng một cách tiếp cận chính xác để khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra "toàn bộ nhóm nhị phân của Microsoft" trong khoảng 5 giờ.
Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới.
Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.
LOLBAS (Living Off The Land Binaries and Scripts - danh sách các công cụ được sử dụng bởi kẻ tấn công) là các tệp đã ký (signed) và có nguồn gốc từ hệ điều hành Windows hoặc được tải xuống từ Microsoft.
Chúng là những công cụ hợp pháp mà tin tặc có thể lạm dụng trong hoạt động sau khai thác để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát.
Microsoft Office binaries
Dự án LOLBAS hiện tại liệt kê hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể cho phép kẻ tấn công thực thi, tải xuống các tệp độc hại hoặc qua mặt danh sách các chương trình tin cậy.Nhà nghiên cứu Nir Chako đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ Microsoft Office.
Chako đã kiểm tra tất cả chúng theo cách thủ công và thấy: MsoHtmEd.exe, MSPub.exe và ProtocolHandler.exe có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
Sau đó, Chako phát hiện ra MsoHtmEd cũng có thể được sử dụng để thực thi các tệp do MsoHtmEd tiếp cận máy chủ HTTP thử nghiệm với yêu cầu GET và tải xuống tệp thử nghiệm.
Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn nhanh hơn.
Nir Chako cho biết: "Sử dụng phương pháp tự động này, chúng tôi đã tìm được thêm 6 trình tải xuống. Nói chung, chúng tôi đã phát hiện ra 9 trình tải xuống mới! Đó là mức tăng gần 30% trong danh sách trình tải xuống LOLBAS chính thức".
Trong một bài đăng trên blog, ông giải thích thêm các tinh chỉnh được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự định.
Tổng cộng, nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
MSPub.exe đã được xác nhận có thể tải xuống tải trọng tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Nguồn LOLBAS mới
Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng các tiêu chí LOLBAS, một ví dụ là bộ PyCharm phổ biến để phát triển Python.Thư mục cài đặt PyCharm chứa elevator.exe (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao.
Một tệp khác trong thư mục PyCharm là WinProcessListHelper.exe có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống.
Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là mkpasswd.exe, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Chako mất 2 tuần để xây dựng một cách tiếp cận chính xác để khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra "toàn bộ nhóm nhị phân của Microsoft" trong khoảng 5 giờ.
Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới.
Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.
Chỉnh sửa lần cuối: