51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

黑客可以滥用Microsoft Office可执行文件下载恶意软件

作者:布加迪
安全 应用安全
Microsoft Publisher应用程序的主要可执行文件已经被确认可以从远程服务器下载攻击载荷。LOLBAS的全称是寄生攻击的二进制文件和脚本,通常被描述为是Windows操作系统原生或从微软下载的已签名文件。

LOLBAS文件列表是Windows中存在的合法二进制文件和脚本,可以被恶意利用。该文件列表很快将包括微软的Outlook电子邮件客户软件和Access数据库管理系统的主要可执行文件。

Microsoft Publisher应用程序的主要可执行文件已经被确认可以从远程服务器下载攻击载荷。

LOLBAS的全称是寄生攻击的二进制文件和脚本,通常被描述为是Windows操作系统原生或从微软下载的已签名文件。

它们是合法的工具,黑客可以在实施利用后活动的过程中滥用它们,以下载及/或运行攻击载荷,而不触发防御机制。

据最近的研究显示,连没有经过微软签名的可执行文件也可以用于攻击,比如侦察。

Microsoft Office二进制文件

LOLBAS项目目前列出了150多个与Windows相关的二进制文件、库和脚本,它们可以帮助攻击者执行或下载恶意文件,或者绕过已批准的程序列表。

Nir Chako是提供自动化安全验证解决方案的Pentera公司的安全研究员,他最近开始通过查看Microsoft Office套件中的可执行文件来发现新的LOLBAS文件。

图1. Microsoft Office可执行文件(图片来源:Pentera)图1. Microsoft Office可执行文件(图片来源:Pentera)

他手动测试了所有这些程序,结果找到了三个程序:MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe,它们可以用作第三方文件的下载程序,因此符合LOLBAS的标准。

研究人员分享的一段视频显示,MsoHtmEd通过GET请求联系上测试HTTP服务器,表明试图下载测试文件。

Chako后来在研究中发现MsoHtmEd还可以用来执行文件。

黑客可以滥用Microsoft Office可执行文件下载恶意软件黑客可以滥用Microsoft Office可执行文件下载恶意软件

这名研究人员受到这一初步成功的鼓舞,并且已经了知道手动查找适当文件的算法,随后开发了一个脚本来自动化验证过程,并更快地覆盖数量更多的可执行文件。

他在近日的一篇博文中解释了添加到脚本中的改进,以便能够列出Windows中的二进制文件,并测试它们超出预期设计的下载功能。

Pentera的这位研究人员共发现了11个具有下载和执行功能的新文件,这些功能符合LOLBAS项目的原则。

黑客可以滥用Microsoft Office可执行文件下载恶意软件黑客可以滥用Microsoft Office可执行文件下载恶意软件

这位研究人员表示,最突出的是MSPub.exe、Outlook.exe和MSAccess.exe,攻击者或渗透测试人员可以利用它们下载第三方文件。

虽然MSPub已经被证实可以从远程服务器下载任意的攻击载荷,但另外两个文件还没有被添加到LOLBAS列表中。Chako表示,由于技术错误,他们没有被包括在内。

Chako说:“我不小心提交了3个合并请求,提交的代码都一样,所以我需要有条不紊地再次提交,这样它们才能正式被加入到项目中。要不是我这方面的笔误,它们将成为项目的一部分。”

新的LOLBAS来源

除了微软的二进制文件外,Chako还发现来自其他开发者的文件符合LOLBAS标准,其中一个例子就是用于Python开发的流行的PyCharm套件。

图3. PyCharm安装文件夹中已签名的可执行文件(图片来源:Pentera)图3. PyCharm安装文件夹中已签名的可执行文件(图片来源:Pentera)

PyCharm安装文件夹包含elevator.exe(由JetBrains签名和验证),它可以以提升的权限执行任意文件。

PyCharm目录中的另一个文件是WinProcessListHelper.exe, Chako说它可以通过枚举系统上运行的所有进程来实现侦察目的。

他所举的另一个LOLBAS侦察工具的例子是mkpasswd.exe,它是Git安装文件夹的一部分,可以提供用户及其安全标识符(SID)的整份列表。

Chako花了两周的时间来设计一种正确的方法以发现新的LOLBAS文件,结果发现了三个文件。

在理解了这个概念之后,他又花了一周的时间来创建自动化发现的工具。他的付出得到了回报,因为这些脚本使他能够在大约5个小时内浏览遍“整个微软二进制文件池”。

不过,回报更大。Chako告诉我们,他开发的工具还可以在其他平台上运行(比如Linux或自定义云虚拟机),无论是在当前状态还是经过微小修改,以便探索新的LOLBAS领域。

然而,了解LOLBAS威胁可以帮助防御人员定义适当的方法和机制来预防或减轻网络攻击。

Pentera发表了一篇论文(https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/),详细介绍了研究人员、红队队员和防御人员如何能找到新的LOLBAS文件。

本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/如若转载,请注明原文地址

责任编辑:武晓燕 来源: 嘶吼网
MicrosoftPublisherLOLBAS
相关推荐
如何解包 Python 恶意可执行文件
使用Python编写的程序通常以源码的形式发布,也可以将所有依赖都打包到一个可执行文件中。那么如何解包Python恶意可执行文件呢

2022-05-11 14:50:34

Python解包执行文件
iOS可执行文件瘦身方法
缩减iOS安装包大小是很多中大型APP都要做的事,一般首先会对资源文件下手,压缩图片音频,去除不必要的资源。这些资源优化做完后,我们还可以尝试对可执行文件进行瘦身,项目越大,可执行文件占用的体积越大,又因为AppStore会对可执行文件加密,导致可执行文件的压缩率低,压缩后可执行文件占整个APP安装包的体积比例大约有80%90%,还是挺值得优化的。

2015-02-02 11:03:12

CentOS mplayer系统安装可执行文件
上网看了好久,CentOSmplayer系统本来代一个totem的东西,结果他娘的他不带解码器,郁闷死,试了好多种办法也没能让这个家伙放出电影来,后来发现阿,这个家伙连mp3也播放不了后来发现大家都在用CentOSmplayer,准备也搞一下,不间断的找了不少资料,发现这两篇还不错。

2010-02-22 18:04:27

CentOS mpla
制作完整的Java可执行文件
本文主要介绍了制作Java可执行文件,基本步骤都比较傻瓜化,不过还是要注意些细节。

2012-01-05 10:37:40

Java
病毒档案之可执行文件病毒解析
可执行文件病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长,对其感染其他文件越有利,因此此类病毒中一般不含有恶意关机等代码,和其他病毒相比用户有足够的处理时间。

2011-08-09 10:24:19

可执行文件病毒病毒
如何让shell脚本变成可执行文件
在本教程中介绍创建bash脚本并使用chmod命令使脚本可执行,无需脚本前面加上sh或bash命令就可以运行它。

2021-01-12 10:10:41

shell脚本Linux命令
如何让Shell脚本变成可执行文件
在本教程中介绍创建bash脚本并使用chmod命令使脚本可执行,无需脚本前面加上sh或bash命令就可以运行它。

2021-01-08 08:06:19

脚本Shell文件
在macOS内存中运行可执行文件
虽然Windows是最常见的目标,但是对于macOS(以前称为OSX),并不缺乏新兴的技术。在这篇文章中,我将讨论一些在macOS(直到Sierra)上执行多级攻击载荷的技术。

2017-02-07 10:22:53

UNIX/LINUX平台可执行文件格式分析
首先是对可执行文件格式的一个综述,并通过描述ELF文件加载过程以揭示可执行文件内容与加载运行操作之间的关系。

2009-06-20 09:21:37

UNIXLINUX
从.Go文本文件可执行文件
本文也只是蜻蜓点水般的过一遍,关于其中的一些细节我也并不太清楚,但是也让我明白了一点道理:不管是多复杂多底层的系统,也都是通过分层来解耦、复用,并且也是不断迭代优化来完成的。

2023-03-31 23:31:06

.go文本文件
从虚拟内存看可执行文件的装载
当双击打开一个可执行文件的时候,计算机究竟干了什么磁盘上的可执行文件是怎么装载到内存当中去的对于众多程序猿来说,这也仍然是一个不太容易回答的问题。

2021-01-06 05:29:57

虚拟内存文件
微软 Edge 浏览器关闭 SmartScreen 后,下载可执行文件会强行提示
微软于今年5月发布了Windows1021H1正式版操作系统,并表示将于2022年6月全面停用IE浏览器,不过目前还保留这一程序。

2021-07-02 05:23:10

微软Edge浏览器
将Java程序变成可执行文件的简单方法
本文将为大家讲解如何将Java程序变成可执行文件的简单方法,虽然Java程序可以直接执行.class文件,但在某些情况下EXE可执行文件也有它方便的地方。

2009-04-16 10:37:17

Javaexejar
报告称黑客滥用 LOLBAS,通过微软 Office 安装包分发恶意软件
LOLBAS文件格式的全称是LivingofftheLandBinariesandScripts,通常被描述为Windows操作系统本机或从Microsoft下载的签名文件。

2023-08-04 15:28:05

黑客潜入Microsoft Teams发送恶意软件
MicrosoftTeams每月有超过2.7亿的用户量,多数用户对平台的安全性深信不疑,但实际上平台并没有针对恶意文件的保护措施。

2022-02-18 15:22:17

黑客恶意软件
快速将多个py文件及其他文件打包为exe可执行文件
最近在学习PYQT5,感觉还挺有趣的,顺便记录一下自己的打包记录,也就当学习笔记啦,如果刚好也在学习python打包的小伙伴可以学一学哦。

2022-05-20 08:55:02

py文件exepython
教你如何将Python程序打包成Linux可执行文件
在工作中,我们可以使用Python编写一些小工具来提高工作效率,对于常用的工具的话可以将其打包成一个可执行文件,这样就比较方便使用了,下面演示一下我是如何打包我的程序的。

2021-01-14 22:17:09

PythonLinux工具
为什么不建议交付静态链接的可执行文件给用户?
在Linux系统中,动态库和静态库是两种不同类型的库文件,它们在程序的编译和运行过程中扮演着不同的角色。

2023-12-18 09:21:22

开发静态编译Linux
Excel 4.0宏被黑客滥用以传播恶意软件
根据最新研究,黑客们越来越多地使用Excel4.0文件作为初始载体来传播ZLoader和Quakbot等恶意软件。

2021-04-29 15:03:33

黑客恶意软件网络攻击
黑客利用Evernote帐号控制服务器
黑客使用流行的笔记应用程序Evernote进行命令控制服务器,下达指令使感染的计算机安装恶意软件。恶意软件通过一个可执行文件,安装恶意软件提供的动态链接库。

2013-04-01 10:36:10

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服