LOLBAS文件列表是Windows中存在的合法二進制文件和腳本，可以被惡意利用。該文件列表很快將包括微軟的Outlook電子郵件客戶軟件和Access數據庫管理系統的主要可執行文件。

Microsoft Publisher應用程序的主要可執行文件已經被確認可以從遠程服務器下載攻擊載荷。

LOLBAS的全稱是寄生攻擊的二進制文件和腳本，通常被描述為是Windows操作系統原生或從微軟下載的已簽名文件。

它們是合法的工具，黑客可以在實施利用后活動的過程中濫用它們，以下載及/或運行攻擊載荷，而不觸發防御機制。

據最近的研究顯示，連沒有經過微軟簽名的可執行文件也可以用于攻擊，比如偵察。

Microsoft Office二進制文件

LOLBAS項目目前列出了150多個與Windows相關的二進制文件、庫和腳本，它們可以幫助攻擊者執行或下載惡意文件，或者繞過已批準的程序列表。

Nir Chako是提供自動化安全驗證解決方案的Pentera公司的安全研究員，他最近開始通過查看Microsoft Office套件中的可執行文件來發現新的LOLBAS文件。

圖1. Microsoft Office可執行文件（圖片來源：Pentera）

他手動測試了所有這些程序，結果找到了三個程序：MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe，它們可以用作第三方文件的下載程序，因此符合LOLBAS的標準。

研究人員分享的一段視頻顯示，MsoHtmEd通過GET請求聯系上測試HTTP服務器，表明試圖下載測試文件。

Chako后來在研究中發現MsoHtmEd還可以用來執行文件。

黑客可以濫用Microsoft Office可執行文件下載惡意軟件

這名研究人員受到這一初步成功的鼓舞，并且已經了知道手動查找適當文件的算法，隨后開發了一個腳本來自動化驗證過程，并更快地覆蓋數量更多的可執行文件。

他在近日的一篇博文中解釋了添加到腳本中的改進，以便能夠列出Windows中的二進制文件，并測試它們超出預期設計的下載功能。

Pentera的這位研究人員共發現了11個具有下載和執行功能的新文件，這些功能符合LOLBAS項目的原則。

黑客可以濫用Microsoft Office可執行文件下載惡意軟件

這位研究人員表示，最突出的是MSPub.exe、Outlook.exe和MSAccess.exe，攻擊者或滲透測試人員可以利用它們下載第三方文件。

雖然MSPub已經被證實可以從遠程服務器下載任意的攻擊載荷，但另外兩個文件還沒有被添加到LOLBAS列表中。Chako表示，由于技術錯誤，他們沒有被包括在內。

Chako說：“我不小心提交了3個合并請求，提交的代碼都一樣，所以我需要有條不紊地再次提交，這樣它們才能正式被加入到項目中。要不是我這方面的筆誤，它們將成為項目的一部分?！?/p>

新的LOLBAS來源

除了微軟的二進制文件外，Chako還發現來自其他開發者的文件符合LOLBAS標準，其中一個例子就是用于Python開發的流行的PyCharm套件。

圖3. PyCharm安裝文件夾中已簽名的可執行文件（圖片來源：Pentera）

PyCharm安裝文件夾包含elevator.exe（由JetBrains簽名和驗證），它可以以提升的權限執行任意文件。

PyCharm目錄中的另一個文件是WinProcessListHelper.exe, Chako說它可以通過枚舉系統上運行的所有進程來實現偵察目的。

他所舉的另一個LOLBAS偵察工具的例子是mkpasswd.exe，它是Git安裝文件夾的一部分，可以提供用戶及其安全標識符（SID）的整份列表。

Chako花了兩周的時間來設計一種正確的方法以發現新的LOLBAS文件，結果發現了三個文件。

在理解了這個概念之后，他又花了一周的時間來創建自動化發現的工具。他的付出得到了回報，因為這些腳本使他能夠在大約5個小時內瀏覽遍“整個微軟二進制文件池”。

不過，回報更大。Chako告訴我們，他開發的工具還可以在其他平臺上運行（比如Linux或自定義云虛擬機），無論是在當前狀態還是經過微小修改，以便探索新的LOLBAS領域。

然而，了解LOLBAS威脅可以幫助防御人員定義適當的方法和機制來預防或減輕網絡攻擊。

Pentera發表了一篇論文（https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/），詳細介紹了研究人員、紅隊隊員和防御人員如何能找到新的LOLBAS文件。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/如若轉載，請注明原文地址