Lolbas dosyalarının listesi - Windows'ta kötü niyetli amaçlar için istismar edilebilen meşru ikili dosyalar ve komut dosyaları yakında Microsoft’un Outlook e -posta istemcisi ve erişim veritabanı yönetim sistemi için ana yürütülebilir ürünleri içerecektir.
Microsoft Publisher uygulaması için ana yürütülebilir dosyası, uzak bir sunucudan yükleri indirebileceği zaten onaylanmıştır.
LOLBAS, kara geçirme ikili ve komut dosyaları anlamına gelir ve genellikle Windows işletim sistemine özgü veya Microsoft'tan indirilen imzalı dosyalar olarak tanımlanır.
Bunlar, korsanların, savunma mekanizmalarını tetiklemeden yükleri indirmek ve/veya çalıştırmak için kovalamaca sonrası etkinlik sırasında kötüye kullanabileceği meşru araçlardır.
Son araştırmalara göre, Microsoft tarafından imzalanmayan yürütülebilir ürünler bile keşif gibi saldırılarda yararlı olan hizmet amaçları.
LOLBAS projesi şu anda saldırganların kötü amaçlı dosyaları yürütmesine veya indirmelerine veya onaylanmış programların listelerini atlamasına yardımcı olabilecek 150'den fazla pencere ile ilgili ikili dosyayı, kütüphaneyi ve komut dosyalarını listelemektedir.
Otomatik bir güvenlik doğrulama çözümü sağlayan bir şirket olan Pentera'da bir güvenlik araştırmacısı olan NIR Chako, yakın zamanda Microsoft Office Suite'teki yürütülebilir ürünlere bakarak yeni Lolbas dosyalarını keşfetmeye başladı.
Hepsini manuel olarak test etti ve üçüncü taraf dosyaları için indiriciler olarak kullanılabilecek üç-msoHmed.exe, mspub.exe ve protocolhandler.exe buldu, böylece lolbas kriterlerini taktı.
Araştırmacılar, BleepingComputer ile MSOHTMED'i bir GET isteği ile test HTTP sunucusuna ulaştığını gösteren ve bir test dosyası indirme girişimini gösteren bir video paylaştılar.
Daha sonra araştırmasında Chako, MsoHtmed'in dosya yürütmek için de kullanılabileceğini keşfetti.
Bu ilk başarı tarafından canlandırılan ve uygun dosyaları manuel olarak bulmak için algoritmayı zaten bilen araştırmacı, doğrulama sürecini otomatikleştirmek ve daha büyük bir yürütülebilir ürün havuzunu daha hızlı kapsamak için bir komut dosyası geliştirdi.
“Bu otomatik yöntemi kullanarak altı indirici daha bulmayı başardık! Sonuçta, dokuz yeni indirici keşfettik! Resmi lolbas indiricilerinin listesinde neredeyse% 30'luk bir artış ” - NIR Chako
Bugün bir blog yazısında, komut dosyasına eklenen incelemeleri, Windows'taki ikili dosyaları listelemeyi ve bunları amaçlanan tasarımın ötesinde indirme özellikleri için test etmesini sağlayan açıklamaları açıklıyor.
Toplamda, Pentera araştırmacısı Lolbas projesinin ilkelerini karşılayan işlevsellikleri indirip yürüterek 11 yeni dosya keşfetti.
Araştırmacı, bir saldırganın veya bir penetrasyon testçisinin üçüncü taraf dosyaları indirmek için kullanabileceği mspub.exe, outlook.exe ve msaccess.exe olduğunu öne sürüyor.
MSPUB, uzak bir sunucudan keyfi yükler indirebileceği onaylanmış olsa da, diğer ikisi henüz Lolbas listesine eklenmemiştir. Chako, teknik bir hata nedeniyle dahil edilmedi, Chako BleepingComputer'a verdiği demeçte.
“Yanlışlıkla aynı kodla 3 çekme isteği gönderdim, bu yüzden bunları düzenli bir şekilde tekrar göndermem gerekiyor, böylece projeye resmi olarak dahil edilebiliyorlar. Sonumdaki büro hatası bir yana, projenin bir parçası olacaklar. ” - nir chako
Microsoft ikili dosyalarının yanı sıra Chako, Lolbas kriterlerini karşılayan diğer geliştiricilerin dosyalarını da buldu, bunlardan biri Python geliştirme için popüler Pycharm süiti.
PyCharm kurulum klasörü, yükseltilmiş ayrıcalıklara sahip keyfi dosyaları yürütebilen asansor.exe (jetbrains tarafından imzalanmış ve doğrulanmıştır) içerir.
Pycharm dizinindeki bir başka dosya da, Chako'nun sistemde çalışan tüm süreçleri numaralandırarak keşif amacına hizmet edebileceğini söylediği winprocesslisthelper.exe'dir.
BleepingComputer sağladığı bir Lolbas keşif aracının bir başka örneği, GIT kurulum klasörünün bir parçası olan Mkpasswd.exe, tüm kullanıcıların ve güvenlik tanımlayıcılarının (SIDS) listesini sunabilen bir parçasıdır.
Chako’nun yolculuğu, yeni Lolbas dosyalarını keşfetmek için doğru bir yaklaşım formüle etmek için iki hafta başladı ve bu da üçü buldu.
Kavramı anladıktan sonra, keşfi otomatikleştirmek için araçlar oluşturarak bir hafta daha geçirdi. Senaryolar, yaklaşık beş saat içinde “Microsoft Bines'in tüm havuzundan” geçmesini sağladığı için çaba ödendi.
Ödül daha da büyük. Chako, geliştirdiği araçların yeni Lolbas bölgesini keşfetmek için mevcut durumlarında veya küçük değişikliklerle diğer platformlarda (örneğin Linux veya özel bulut sanal makineleri) çalışabileceğini söyledi.
Bununla birlikte, Lolbas tehditlerini bilmek, savunucuların siber saldırıları önlemek veya azaltmak için yeterli metodolojileri ve mekanizmaları tanımlamalarına yardımcı olabilir.
Pentera, araştırmacılar, kırmızı takımcılar ve savunucuların nasıl yeni Lolbas dosyaları bulabileceği hakkında tüm ayrıntılar içeren bir makale yayınladı.
Microsoft Paylaşımları Outlook için Düzeltme Kapalı Pencereleri Yeniden Açmak İstiyor
Microsoft Paylaşımları Bazı Outlook Köprüleri Açılmıyor
Microsoft, Outlook Masaüstü Yavaş Kaydetme Hata için Temp Fix'i paylaşıyor
Çalıntı Microsoft Key, Microsoft Cloud Services'a yaygın erişim sundu
Microsoft, outlook.com hata kırma e -posta aramasını araştırıyor
Kaynak: Bleeping Computer