黑客可以滥用Microsoft Office可执行文件下载恶意软件

LOLBAS文件列表是Windows中存在的合法二进制文件和脚本，可以被恶意利用。该文件列表很快将包括微软的Outlook电子邮件客户软件和Access数据库管理系统的主要可执行文件。

Microsoft Publisher应用程序的主要可执行文件已经被确认可以从远程服务器下载攻击载荷。

LOLBAS的全称是寄生攻击的二进制文件和脚本，通常被描述为是Windows操作系统原生或从微软下载的已签名文件。

它们是合法的工具，黑客可以在实施利用后活动的过程中滥用它们，以下载及/或运行攻击载荷，而不触发防御机制。

据最近的研究显示，连没有经过微软签名的可执行文件也可以用于攻击，比如侦察。

Microsoft Office二进制文件

LOLBAS项目目前列出了150多个与Windows相关的二进制文件、库和脚本，它们可以帮助攻击者执行或下载恶意文件，或者绕过已批准的程序列表。

Nir Chako是提供自动化安全验证解决方案的Pentera公司的安全研究员，他最近开始通过查看Microsoft Office套件中的可执行文件来发现新的LOLBAS文件。

图1. Microsoft Office可执行文件（图片来源：Pentera）

他手动测试了所有这些程序，结果找到了三个程序：MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe，它们可以用作第三方文件的下载程序，因此符合LOLBAS的标准。

研究人员分享的一段视频显示，MsoHtmEd通过GET请求联系上测试HTTP服务器，表明试图下载测试文件。

Chako后来在研究中发现MsoHtmEd还可以用来执行文件。

图2

这名研究人员受到这一初步成功的鼓舞，并且已经了知道手动查找适当文件的算法，随后开发了一个脚本来自动化验证过程，并更快地覆盖数量更多的可执行文件。

他在近日的一篇博文中解释了添加到脚本中的改进，以便能够列出Windows中的二进制文件，并测试它们超出预期设计的下载功能。

Pentera的这位研究人员共发现了11个具有下载和执行功能的新文件，这些功能符合LOLBAS项目的原则。

这位研究人员表示，最突出的是MSPub.exe、Outlook.exe和MSAccess.exe，攻击者或渗透测试人员可以利用它们下载第三方文件。

虽然MSPub已经被证实可以从远程服务器下载任意的攻击载荷，但另外两个文件还没有被添加到LOLBAS列表中。Chako表示，由于技术错误，他们没有被包括在内。

Chako说：“我不小心提交了3个合并请求，提交的代码都一样，所以我需要有条不紊地再次提交，这样它们才能正式被加入到项目中。要不是我这方面的笔误，它们将成为项目的一部分。”

新的LOLBAS来源

除了微软的二进制文件外，Chako还发现来自其他开发者的文件符合LOLBAS标准，其中一个例子就是用于Python开发的流行的PyCharm套件。

图3. PyCharm安装文件夹中已签名的可执行文件（图片来源：Pentera）

PyCharm安装文件夹包含elevator.exe（由JetBrains签名和验证），它可以以提升的权限执行任意文件。

PyCharm目录中的另一个文件是WinProcessListHelper.exe, Chako说它可以通过枚举系统上运行的所有进程来实现侦察目的。

他所举的另一个LOLBAS侦察工具的例子是mkpasswd.exe，它是Git安装文件夹的一部分，可以提供用户及其安全标识符（SID）的整份列表。

Chako花了两周的时间来设计一种正确的方法以发现新的LOLBAS文件，结果发现了三个文件。

在理解了这个概念之后，他又花了一周的时间来创建自动化发现的工具。他的付出得到了回报，因为这些脚本使他能够在大约5个小时内浏览遍“整个微软二进制文件池”。

不过，回报更大。Chako告诉我们，他开发的工具还可以在其他平台上运行（比如Linux或自定义云虚拟机），无论是在当前状态还是经过微小修改，以便探索新的LOLBAS领域。

然而，了解LOLBAS威胁可以帮助防御人员定义适当的方法和机制来预防或减轻网络攻击。

Pentera发表了一篇论文（https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/），详细介绍了研究人员、红队队员和防御人员如何能找到新的LOLBAS文件。