Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

Hacker ໃຊ້ຟາຍປະຕິບັດການຂອງ Microsoft Office ເພື່ອດາວໂຫຼດມັນແວ (Malware)

Hacker ໃຊ້ຟາຍປະຕິບັດການຂອງ Microsoft Office ເພື່ອດາວໂຫຼດມັນແວ (Malware)ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ ເຜີຍແຜ່​ການ​ຄົ້ນ​ພົບ​ LOLBAS files ຊຶ່ງ​ເປັນ​ໄບ​ນາ​ຣີ (Binary) ​ ແລະ​ ສະຄຣິບ (Script) ​ທີ່​ມີ​ໃຊ້​ງານ​ຢູ່ໃນ​ Windows ຢ່າງ​ຖືກ​ຕ້ອງ​ ຊຶ່ງ​ສາມາດ​ຖືກ​ນຳ​ໄປ​ໃຊ້ ​ເພື່ອ​ວັດ​ຖຸ​ປະສົງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ໄດ້​ ຊຶ່ງກວດ​ພົບ​ການ​ເອີ້ນ​ໃຊ້​ຟາຍ​ executable ຂອງ​ Microsoft’s Outlook email client ແລະ​ Access database management system ລວມທັງ​ LOLBAS files ສຳລັບ​ Microsoft Publisher application ແລະ​ ຍັງ​ສາມາດດາວ​​ໂຫຼດ​ເພ​​ໂຫຼດ (Payload) ​ຈາກ​ເ​ຊີເວີ​ພາຍນອກ​ໄດ້​ອີກ​ດ້ວຍ​.

LOLBAS ຫຍໍ້​ມາ​ຈາກ​ Living-off-the-Land Binaries and Scripts ເປັນ​ຟາຍ​ທີ່​ໄດ້ຮັບ​ການ​ຮັບຮອງ​ຈາກ​ລະບົບ​ປະຕິບັດການ​ Windows ຫຼື ​ດາວ​ໂຫຼດ​ຈາກ​ Microsoft ທີ່​ຖືກ​ Hacker ນຳ​ມາ​ໃຊ້​ໃນ​ການ​ດາວ​ໂຫຼດ​ ຫຼື ​ເອີ້ນ​ໃຊ້​ງານ​ເພ​ໂຫຼດ​ອັນຕະລາຍ​ໄດ້ ​ໂດຍ​ບໍ່​ຖືກ​ກວດ​ຈັບ.​ ນອກ​ຈາກ​ນີ້​, ຈາກ​ການ​ວິ​ໄຈ​ພົບ​ວ່າ​ ເຖິງຈະບໍ່ແມ່ນ​ໂປຣ​ແກຣມ​ທີ່​ໄດ້ຮັບ​ການ​ຮັບຮອງ​ໂດຍ​ Microsoft ກໍ່​ສາມາດ​ນຳ​ມາ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້ ​ເຊັ່ນ​ກັນ​ ເຊັ່ນ​: ການ​ Reconnaissance.

Microsoft Office binaries

ປັດຈຸບັນ​ LOLBAS project ຊຶ່ງ​ເປັນ​ໂຄງ​ການ​ທີ່​ຄົ້ນ​ຫາ​ LOLBAS ອັນຕະລາຍ​ ໄດ້​ຄົ້ນ​ພົບລາຍ​ການ​ໄບ​ນາ​ຣີ​ ໄລ​ບ​ຣາ​ຣີ (Binary Library)​ ແລະ ​ສະຄຣິບ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ Windows ຫຼາຍກວ່າ​ 150 ລາຍ​ການ​ ທີ່​ສາມາດ​ເຮັດໃຫ້​ Hacker ສັ່ງ​ການ​ ຫຼື ​ດາວ​ໂຫຼດ​ຟາຍ​ທີ່​ເປັນ​ອັນຕະລາຍ​ ແລະ​ bypass ລາຍ​ການ​ໂປຣ​ແກຣມ ​ທີ່​ໄດ້ຮັບ​ອະ​ນຸມັດໄດ້​.

Nir Chako ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ ຂອງ​ Pentera ບໍລິສັດ​ທີ່​ໃຫ້​ບໍລິການ​ໂຊ​ລູ​ຊັ່ນ​ (Solution) ການ​ກວດ​ສອບ​ຄວາມ​ປອດໄ​ພແບບ​ອັດ​ຕະໂນ​ມັ​ດ ໄດ້​ວິໄຈ ​ເພື່ອ​ຄົ້ນ​ຫາ​ຟາຍ​ LOLBAS ໃໝ່​ໆ​ ທີ່​ຢູ່ໃນ​ຟາຍ​ປະຕິບັດການ​ໃນ​ຊຸດ​ໂປຣ​ແກຣມ​ຂອງ​ Microsoft Office.


ໄດ້​ຄົ້ນ​ພົບ​ສາມ​ລາຍ​ການ​ ໄດ້​ແກ່​: MsoHtmEd.exe, MSPub.exe ແລະ​ ProtocolHandler.exe ທີ່​ສາມາດ​ໃຊ້​ ເປັນ​ໂປຣ​ແກຣມ ​ເພື່ອ​ດາວ​​ໂຫຼດ​ຟາຍ​ຈາກ​ third-party ໄດ້​ ຊຶ່ງ​ຖືກຕ້ອງກັບ​ເກນ​ຂອງ​ໂຄງ​ການ​ LOLBAS ​ພາຍ​ຫຼັງ​ຈາກ​ໄດ້​ທົດສອບ​ພົບ​ວ່າ​ MsoHtmEd ສາມາດ​ເຂົ້າ​ເຖິງ​ HTTP server ແລະ​ ​ GET request ເພື່ອ​ດາວ​​ໂຫຼດ​ຟາຍ​ ລວມທັງ​ພົບ​ວ່າ​ MsoHtmEd ສາມາດ​ສັ່ງ​ run ຟາຍ​ໄດ້​ອີກ​ດ້ວຍ​. ຫຼັງ​ຈາກ​ນັ້ນ​, Chako ໄດ້​ພັດທະນາ​ສະຄຣິບ ​ເພື່ອ​ເຮັດໃຫ້​ຂະ​ບວນ​ການ​ ເປັນ​ໄປ​ໂດຍ​ອັດ​ຕະໂນ​ມັ​ດ ແລະ​ ຄອບ​ຄຸມ​ປະຕິບັດການ​ທີ່​ໃຫຍ່​ຂຶ້ນ​.

ນັກ​ວິ​ໄຈຈາກ​ Pentera ຍັງ​ໄດ້​ຄົ້ນ​ພົບ​ຟາຍ​ໃໝ່​ 11 ຟາຍ ທີ່​ສາມາດ​ດາວ​​ໂຫຼດ​ ແລະ​ ເອີ້ນ​ໃຊ້​ງານ​ຟັງ​ຊັ່ນ​ທີ່​ຖືກຕ້ອງຕາມ​ຫຼັກ​ການ​ຂອງ​ໂຄງ​ການ​ LOLBAS project ດັ່ງ​ນີ້​:


​ໂດດ​ເດັ່ນ​ທີ່ສຸດ​ຄື​ MSPub.exe, Outlook.exe ແລະ​ MSAccess.exe ທີ່​ເຮັດໃຫ້​ Hacker ຫຼື​ penetration tester ສາມາດ​ໃຊ້​ ເພື່ອ​ດາວ​​ໂຫຼດ​ຟາຍ​ຈາກ​ third-party ໄດ້​ ໂດຍ​ MSPub ໄດ້ຮັບ​ການ​ຢືນຢັນ​ວ່າ​ສາມາດ​ດາວ​​ໂຫຼດ​ payloads ຈາກ​ເ​ຊີ​ເວີ​ພາຍນອກ​ໄດ້​ ແຕ່​ອີກ​ 2 ລາຍ​ການ​ນັ້ນ ຍັງ​ບໍ່​ໄດ້​ຖືກ​ເພີ່ມ​ເຂົ້າໄປ​ໃນ​ລາຍ​ການ​ LOLBAS ເນື່ອງ​ຈາກ​ຂໍ້​ຜິດ​ພາດ​ທາງ​ເຕັກ​ນິກ​ ທີ່ກວດພົບ​ບາງຢ່າງ​.

ພົບ​ LOLBAS ແຫຼ່ງ​ໃໝ່​

ນອກ​ຈາກ​ໄບ​ນາ​ຣີ ຂອງ​ Microsoft ແລ້ວ​ ນັກ​ວິໄ​ຈ​ຈາກ​ Pentera ໄດ້​ຄົ້ນ​ພົບ​ຟາຍຈາກ​ນັກ​ພັດທະນາ​ລາຍ​ອື່ນ​ ທີ່​ຖືກຕ້ອງຕາມ​ເກນ​ຂອງ​ LOLBAS ຕົວ​ຢ່າງ​ໜຶ່ງ​ ຄື​ PyCharm suite ຊຶ່ງ​ເປັນ​ໂປຣ​ແກຣມ​ຍອດ​ນິຍົມ​ສຳລັບ​ການ​ພັດທະນາ​ Python.


ໂຟນ​ເດີ​ (Folder) ​ການ​ຕິດ​ຕັ້ງ​ PyCharm ຈະ​ມີ​ຟາຍ​ lifter.exe (ໄດ້ຮັບ​ການ​ຮັບຮອງ​ ແລະ​ ກວດ​ສອບ​ໂດຍ​ JetBrains) ທີ່​ສາມາດ​ເອີ້ນ​ໃຊ້​ຟາຍດ້ວຍ​ສິດ​ລະ​ດັບ​ສູງ​ ລວມ​ທັງ​ຟາຍ​ອື່ນ​ໃນ​ໄດ​ເຣັກ​ທໍ​ຣີ (Directory) PyCharm ຄື​ WinProcessListHelper.exe ທີ່​ສາມາດ​ບອກ​ຂໍ້​ມູນ​ຂະ​ບວນ​ການ​ທັງ​ໝົດ ​ທີ່​ເຮັດວຽກ​ເທິງ​ລະບົບ​ ຊຶ່ງ​ເປັນ​ຂັ້ນ​ຕອນ​ສຳຄັນ​ສຳລັບ​ການເຮັດ​ Reconnaissance ເທິງ​ລະບົບ​ ແລະ ​ອີກ​ຕົວ​ຢ່າງ​ຂອງ​ເຄື່ອງ​ມື​ສອດແນມ​ ຄື​ mkpasswd.exe ຊຶ່ງ​ເປັນ​ສ່ວນຫນຶ່ງ​ຂອງ​ໂຟນ​ເດີ​ການ​ຕິດ​ຕັ້ງ​ Git ຊຶ່ງ​ສາມາດ​ບອກ​ຂໍ້​ມູນລາຍ​ຊື່​ຜູ້​ໃຊ້​ທັງ​ໝົດ​ ແລະ​ security identifiers (SIDs).

ຕໍ່​ມາ​ທາງ​ນັກ​ວິ​ໄຈຈາກ​ Pentera ສ້າງ​ເຄື່ອງ​ມື​ ເພື່ອ​ຄົ້ນ​ຫາ​ໂດຍ​ອັດ​ຕະໂນ​ມັ​ດ​ ຊຶ່ງ​ສະຄ​ຣິບ​​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ສາມາດ​ອ່ານ​ "ກຸ່ມ​ໄບ​ນາ​ຣີ​ທັງ​ໝົດ​ຂອງ​ Microsoft" ໄດ້​ ພາຍ​ໃນ​ເວລາ​ປະ​ມານ​ຫ້າ​ຊົ່ວ​ໂມງ​ ລວມທັງເຄື່ອງ​ມື​ທີ່​ພັດທະນາ​ດັ່ງ​ກ່າວ​ ຍັງ​ສາມາດ​ເຮັດວຽກ​ເທິງ​ແພັດ​ຟອມ​ (Platform) ອື່ນ​ໆ​ (ເຊັ່ນ:​ Linux ຫຼື​ custom cloud virtual machines) ເພື່ອ​ຄົ້ນ​ຫາ​ LOLBAS ໃໝ່​ໆ​.

​ຂໍ້​ມູນ​ LOLBAS ເຫຼົ່າ​ນີ້​ ຊ່ວຍ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ສາມາດ​ວາງ​ແຜນ​ກຳນົດ​ວິທີ​ການ​ ແລະ ​ກົນ​ໄກ​ ເພື່ອ​ປ້ອງ​ກັນ​ ຫຼື ​ຫຼຸດຜ່ອນ​ການ​ໂຈມ​ຕີ​ຈາກ​ LOLBAS ໄດ້​ຕໍ່ໄປ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/https://lolbas-project.github.io/
  2. https://www.i-secure.co.th/2023/08/hacker-%e0%b9%83%e0%b8%8a%e0%b9%89%e0%b9%84%e0%b8%9f%e0%b8%a5%e0%b9%8c%e0%b8%9b%e0%b8%8f%e0%b8%b4%e0%b8%9a%e0%b8%b1%e0%b8%95%e0%b8%b4%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b8%82%e0%b8%ad%e0%b8%87-microsoft-of/

ລາຍການຮູບ

Meesaisak 17 August 2023 1,054 Print