Hacker ໃຊ້ຟາຍປະຕິບັດການຂອງ Microsoft Office ເພື່ອດາວໂຫຼດມັນແວ (Malware)
LOLBAS ຫຍໍ້ມາຈາກ Living-off-the-Land Binaries and Scripts ເປັນຟາຍທີ່ໄດ້ຮັບການຮັບຮອງຈາກລະບົບປະຕິບັດການ Windows ຫຼື ດາວໂຫຼດຈາກ Microsoft ທີ່ຖືກ Hacker ນຳມາໃຊ້ໃນການດາວໂຫຼດ ຫຼື ເອີ້ນໃຊ້ງານເພໂຫຼດອັນຕະລາຍໄດ້ ໂດຍບໍ່ຖືກກວດຈັບ. ນອກຈາກນີ້, ຈາກການວິໄຈພົບວ່າ ເຖິງຈະບໍ່ແມ່ນໂປຣແກຣມທີ່ໄດ້ຮັບການຮັບຮອງໂດຍ Microsoft ກໍ່ສາມາດນຳມາໃຊ້ໃນການໂຈມຕີໄດ້ ເຊັ່ນກັນ ເຊັ່ນ: ການ Reconnaissance.
Microsoft Office binaries
ປັດຈຸບັນ LOLBAS project ຊຶ່ງເປັນໂຄງການທີ່ຄົ້ນຫາ LOLBAS ອັນຕະລາຍ ໄດ້ຄົ້ນພົບລາຍການໄບນາຣີ ໄລບຣາຣີ (Binary Library) ແລະ ສະຄຣິບທີ່ກ່ຽວຂ້ອງກັບ Windows ຫຼາຍກວ່າ 150 ລາຍການ ທີ່ສາມາດເຮັດໃຫ້ Hacker ສັ່ງການ ຫຼື ດາວໂຫຼດຟາຍທີ່ເປັນອັນຕະລາຍ ແລະ bypass ລາຍການໂປຣແກຣມ ທີ່ໄດ້ຮັບອະນຸມັດໄດ້.
Nir Chako ນັກວິໄຈດ້ານຄວາມປອດໄພ ຂອງ Pentera ບໍລິສັດທີ່ໃຫ້ບໍລິການໂຊລູຊັ່ນ (Solution) ການກວດສອບຄວາມປອດໄພແບບອັດຕະໂນມັດ ໄດ້ວິໄຈ ເພື່ອຄົ້ນຫາຟາຍ LOLBAS ໃໝ່ໆ ທີ່ຢູ່ໃນຟາຍປະຕິບັດການໃນຊຸດໂປຣແກຣມຂອງ Microsoft Office.
ໄດ້ຄົ້ນພົບສາມລາຍການ ໄດ້ແກ່: MsoHtmEd.exe, MSPub.exe ແລະ ProtocolHandler.exe ທີ່ສາມາດໃຊ້ ເປັນໂປຣແກຣມ ເພື່ອດາວໂຫຼດຟາຍຈາກ third-party ໄດ້ ຊຶ່ງຖືກຕ້ອງກັບເກນຂອງໂຄງການ LOLBAS ພາຍຫຼັງຈາກໄດ້ທົດສອບພົບວ່າ MsoHtmEd ສາມາດເຂົ້າເຖິງ HTTP server ແລະ GET request ເພື່ອດາວໂຫຼດຟາຍ ລວມທັງພົບວ່າ MsoHtmEd ສາມາດສັ່ງ run ຟາຍໄດ້ອີກດ້ວຍ. ຫຼັງຈາກນັ້ນ, Chako ໄດ້ພັດທະນາສະຄຣິບ ເພື່ອເຮັດໃຫ້ຂະບວນການ ເປັນໄປໂດຍອັດຕະໂນມັດ ແລະ ຄອບຄຸມປະຕິບັດການທີ່ໃຫຍ່ຂຶ້ນ.
ນັກວິໄຈຈາກ Pentera ຍັງໄດ້ຄົ້ນພົບຟາຍໃໝ່ 11 ຟາຍ ທີ່ສາມາດດາວໂຫຼດ ແລະ ເອີ້ນໃຊ້ງານຟັງຊັ່ນທີ່ຖືກຕ້ອງຕາມຫຼັກການຂອງໂຄງການ LOLBAS project ດັ່ງນີ້:
ໂດດເດັ່ນທີ່ສຸດຄື MSPub.exe, Outlook.exe ແລະ MSAccess.exe ທີ່ເຮັດໃຫ້ Hacker ຫຼື penetration tester ສາມາດໃຊ້ ເພື່ອດາວໂຫຼດຟາຍຈາກ third-party ໄດ້ ໂດຍ MSPub ໄດ້ຮັບການຢືນຢັນວ່າສາມາດດາວໂຫຼດ payloads ຈາກເຊີເວີພາຍນອກໄດ້ ແຕ່ອີກ 2 ລາຍການນັ້ນ ຍັງບໍ່ໄດ້ຖືກເພີ່ມເຂົ້າໄປໃນລາຍການ LOLBAS ເນື່ອງຈາກຂໍ້ຜິດພາດທາງເຕັກນິກ ທີ່ກວດພົບບາງຢ່າງ.
ພົບ LOLBAS ແຫຼ່ງໃໝ່
ນອກຈາກໄບນາຣີ ຂອງ Microsoft ແລ້ວ ນັກວິໄຈຈາກ Pentera ໄດ້ຄົ້ນພົບຟາຍຈາກນັກພັດທະນາລາຍອື່ນ ທີ່ຖືກຕ້ອງຕາມເກນຂອງ LOLBAS ຕົວຢ່າງໜຶ່ງ ຄື PyCharm suite ຊຶ່ງເປັນໂປຣແກຣມຍອດນິຍົມສຳລັບການພັດທະນາ Python.
ໂຟນເດີ (Folder) ການຕິດຕັ້ງ PyCharm ຈະມີຟາຍ lifter.exe (ໄດ້ຮັບການຮັບຮອງ ແລະ ກວດສອບໂດຍ JetBrains) ທີ່ສາມາດເອີ້ນໃຊ້ຟາຍດ້ວຍສິດລະດັບສູງ ລວມທັງຟາຍອື່ນໃນໄດເຣັກທໍຣີ (Directory) PyCharm ຄື WinProcessListHelper.exe ທີ່ສາມາດບອກຂໍ້ມູນຂະບວນການທັງໝົດ ທີ່ເຮັດວຽກເທິງລະບົບ ຊຶ່ງເປັນຂັ້ນຕອນສຳຄັນສຳລັບການເຮັດ Reconnaissance ເທິງລະບົບ ແລະ ອີກຕົວຢ່າງຂອງເຄື່ອງມືສອດແນມ ຄື mkpasswd.exe ຊຶ່ງເປັນສ່ວນຫນຶ່ງຂອງໂຟນເດີການຕິດຕັ້ງ Git ຊຶ່ງສາມາດບອກຂໍ້ມູນລາຍຊື່ຜູ້ໃຊ້ທັງໝົດ ແລະ security identifiers (SIDs).
ຕໍ່ມາທາງນັກວິໄຈຈາກ Pentera ສ້າງເຄື່ອງມື ເພື່ອຄົ້ນຫາໂດຍອັດຕະໂນມັດ ຊຶ່ງສະຄຣິບດັ່ງກ່າວເຮັດໃຫ້ສາມາດອ່ານ "ກຸ່ມໄບນາຣີທັງໝົດຂອງ Microsoft" ໄດ້ ພາຍໃນເວລາປະມານຫ້າຊົ່ວໂມງ ລວມທັງເຄື່ອງມືທີ່ພັດທະນາດັ່ງກ່າວ ຍັງສາມາດເຮັດວຽກເທິງແພັດຟອມ (Platform) ອື່ນໆ (ເຊັ່ນ: Linux ຫຼື custom cloud virtual machines) ເພື່ອຄົ້ນຫາ LOLBAS ໃໝ່ໆ.
ຂໍ້ມູນ LOLBAS ເຫຼົ່ານີ້ ຊ່ວຍໃຫ້ຜູ້ເບິ່ງແຍງລະບົບ ສາມາດວາງແຜນກຳນົດວິທີການ ແລະ ກົນໄກ ເພື່ອປ້ອງກັນ ຫຼື ຫຼຸດຜ່ອນການໂຈມຕີຈາກ LOLBAS ໄດ້ຕໍ່ໄປ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/https://lolbas-project.github.io/
- https://www.i-secure.co.th/2023/08/hacker-%e0%b9%83%e0%b8%8a%e0%b9%89%e0%b9%84%e0%b8%9f%e0%b8%a5%e0%b9%8c%e0%b8%9b%e0%b8%8f%e0%b8%b4%e0%b8%9a%e0%b8%b1%e0%b8%95%e0%b8%b4%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b8%82%e0%b8%ad%e0%b8%87-microsoft-of/
ລາຍການຮູບ
