Η λίστα των αρχείων LOLBAS που μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς θα περιλαμβάνει σύντομα τα κύρια εκτελέσιμα για το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου του Microsoft Outlook και το σύστημα διαχείρισης βάσης δεδομένων Access.
Δείτε επίσης: Το Microsoft Office λαμβάνει ένα νέο default font
Το κύριο εκτελέσιμο αρχείο για την εφαρμογή Microsoft Publisher έχει ήδη επιβεβαιωθεί ότι μπορεί να πραγματοποιήσει λήψη ωφέλιμων φορτίων από έναν απομακρυσμένο διακομιστή.
Το LOLBAS σημαίνει Living-off-the-land Binaries and Scripts και συνήθως περιγράφονται ως υπογεγραμμένα αρχεία που είτε είναι εγγενή στο λειτουργικό σύστημα Windows είτε έχουν ληφθεί από τη Microsoft. Είναι νόμιμα εργαλεία που οι χάκερ μπορούν να καταχραστούν για να κατεβάσουν και/ή να εκτελέσουν ωφέλιμα φορτία χωρίς να ενεργοποιήσουν αμυντικούς μηχανισμούς.
Σύμφωνα με πρόσφατη έρευνα, ακόμη και εκτελέσιμα που δεν είναι υπογεγραμμένα από τη Microsoft εξυπηρετούν σκοπούς που είναι χρήσιμοι σε επιθέσεις, όπως η αναγνώριση.
Το έργο LOLBAS αυτή τη στιγμή παραθέτει πάνω από 150 δυαδικά αρχεία, βιβλιοθήκες και σενάρια που σχετίζονται με τα Windows που μπορούν να βοηθήσουν τους εισβολείς να εκτελέσουν ή να κατεβάσουν κακόβουλα αρχεία ή να παρακάμψουν λίστες εγκεκριμένων προγραμμάτων.
Ο Nir Chako, ερευνητής ασφάλειας στην Pentera, μια εταιρεία που παρέχει μια αυτοματοποιημένη λύση επικύρωσης ασφαλείας, ξεκίνησε πρόσφατα να ανακαλύπτει νέα αρχεία LOLBAS εξετάζοντας τα εκτελέσιμα στη σουίτα του Microsoft Office.
Δείτε ακόμα: Η κυβερνοεπίθεση στην Capita διέκοψε την πρόσβαση στα Microsoft Office 365 apps
Τα δοκίμασε όλα με μη αυτόματο τρόπο και βρήκε τρία – τα MsoHtmEd.exe, MSPub.exe και ProtocolHandler.exe – που θα μπορούσαν να χρησιμοποιηθούν ως προγράμματα λήψης αρχείων τρίτων. Αργότερα στην έρευνά του, ο Chako ανακάλυψε ότι το MsoHtmEd θα μπορούσε επίσης να χρησιμοποιηθεί για την εκτέλεση αρχείων.
Παρακινούμενος από αυτή την αρχική επιτυχία και γνωρίζοντας ήδη τον αλγόριθμο για να βρει τα κατάλληλα αρχεία με μη αυτόματο τρόπο, ο ερευνητής ανέπτυξε ένα σενάριο για να αυτοματοποιήσει τη διαδικασία επαλήθευσης και να καλύψει μια μεγαλύτερη δεξαμενή εκτελέσιμων αρχείων πιο γρήγορα.
Σε μια ανάρτηση ιστολογίου, εξηγεί τις βελτιώσεις που προστέθηκαν στο σενάριο που επέτρεψαν την καταχώριση των δυαδικών αρχείων στα Windows και τη δοκιμή τους για δυνατότητες λήψης πέρα από τον επιδιωκόμενο σχεδιασμό. Συνολικά, ο ερευνητής της Pentera ανακάλυψε 11 νέα αρχεία με λειτουργίες λήψης και εκτέλεσης που πληρούν τις αρχές του έργου LOLBAS.
Ξεχωρίζουν τα MSPub.exe, Outlook.exe και MSAccess.exe, τα οποία ένας εισβολέας ή ένας ελεγκτής διείσδυσης θα μπορούσε να χρησιμοποιήσει για τη λήψη αρχείων τρίτων, λέει ο ερευνητής.
Δείτε επίσης: Microsoft Office: Πώς θα το χρησιμοποιήσετε δωρεάν
Ενώ το MSPub έχει επιβεβαιωθεί ότι μπορεί να κατεβάσει αυθαίρετα ωφέλιμα φορτία από έναν απομακρυσμένο διακομιστή, τα άλλα δύο δεν έχουν ακόμη προστεθεί στη λίστα LOLBAS. Δεν έχουν συμπεριληφθεί λόγω τεχνικού σφάλματος, είπε ο Chako.
Τα αρχεία LOLBAS εκμεταλλεύονται συχνά από επιτιθέμενους για να εκκινήσουν επιθέσεις που δύσκολα ανιχνεύονται από τα περισσότερα συστήματα ασφάλειας. Αυτό συμβαίνει επειδή τα αρχεία αυτά, στην ουσία, είναι κανονικά στοιχεία του λειτουργικού συστήματος Windows που χρησιμοποιούνται για νόμιμες λειτουργίες. Αυτός είναι ένας σημαντικός λόγος για τον οποίο οι επαγγελματίες της ασφάλειας πρέπει να είναι εξοικειωμένοι με τα αρχεία LOLBAS και τους τρόπους με τους οποίους μπορούν να εκμεταλλευτούν.
