La liste des fichiers LOLBAS – binaires et scripts légitimes présents dans Windows qui peuvent être utilisés à des fins malveillantes, comprendra bientôt les principaux exécutables du client de messagerie Outlook de Microsoft et du système de gestion de base de données Access.

L’exécutable principal de l’application Microsoft Publisher a déjà été confirmé qu’il peut télécharger des charges utiles à partir d’un serveur distant.

LOLBAS signifie Living-off-the-Land Binaries and Scripts et sont généralement décrits comme des fichiers signés qui sont soit natifs du système d’exploitation Windows, soit téléchargés à partir de Microsoft.

Ce sont des outils légitimes dont les pirates peuvent abuser pendant l’activité de post-exploitation pour télécharger et/ou exécuter des charges utiles sans déclencher de mécanismes défensifs.

Selon des recherches récentes, même les exécutables qui ne sont pas signés par Microsoft servent à des fins utiles dans les attaques, telles que la reconnaissance.

Binaires Microsoft Office
Le projet LOLBAS répertorie actuellement plus de 150 fichiers binaires, bibliothèques et scripts liés à Windows qui peuvent aider les attaquants à exécuter ou à télécharger des fichiers malveillants ou à contourner les listes de programmes approuvés.

Nir Chako, chercheur en sécurité chez Pentera, société qui fournit une solution de validation de sécurité automatisée, est récemment parti à la découverte de nouveaux fichiers LOLBAS en consultant les exécutables de la suite Microsoft Office.

Fichiers exécutables Microsoft Office

Il les a tous testés manuellement et en a trouvé trois – MsoHtmEd.exe, MSPub.exe et ProtocolHandler.exe – qui pourraient être utilisés comme téléchargeurs de fichiers tiers, répondant ainsi aux critères LOLBAS.

Les chercheurs ont partagé avec Breachtrace une vidéo qui montre MsoHtmEd atteignant le serveur HTTP de test avec une requête GET, indiquant une tentative de téléchargement d’un fichier de test.

Plus tard dans ses recherches, Chako a découvert que MsoHtmEd pouvait également être utilisé pour exécuter des fichiers.

Animé par ce premier succès et connaissant déjà l’algorithme pour trouver manuellement les fichiers appropriés, le chercheur a développé un script pour automatiser le processus de vérification et couvrir plus rapidement un plus grand nombre d’exécutables.

« En utilisant cette méthode automatisée, nous avons réussi à trouver six autres téléchargeurs ! Au total, nous avons découvert neuf nouveaux téléchargeurs ! C’est presque une augmentation de 30% dans la liste officielle des téléchargeurs LOLBAS » – Nir Chako

Dans un article de blog aujourd’hui, il explique les améliorations ajoutées au script qui ont permis de répertorier les fichiers binaires dans Windows et de les tester pour les capacités de téléchargement au-delà de la conception prévue.

Au total, le chercheur de Pentera a découvert 11 nouveaux fichiers avec des fonctionnalités de téléchargement et d’exécution qui répondent aux principes du projet LOLBAS.

MSPub.exe, Outlook.exe et MSAccess.exe se démarquent, qu’un attaquant ou un testeur d’intrusion pourrait utiliser pour télécharger des fichiers tiers, explique le chercheur.

Bien que MSPub ait été confirmé qu’il peut télécharger des charges utiles arbitraires à partir d’un serveur distant, les deux autres doivent encore être ajoutés à la liste LOLBAS. Ils n’ont pas été inclus en raison d’une erreur technique, a déclaré Chako à Breachtrace .

« J’ai accidentellement soumis 3 demandes d’extraction avec le même code que celui qui a été validé, je dois donc les soumettre à nouveau de manière ordonnée, afin qu’elles puissent être officiellement incluses dans le projet. Mis à part l’erreur d’écriture de ma part, ils feront partie du projet. -Nir Chako

Nouvelles sources LOLBAS
Outre les binaires Microsoft, Chako a également trouvé des fichiers d’autres développeurs qui répondent aux critères LOLBAS, un exemple étant la populaire suite PyCharm pour le développement Python.

Exécutable signé dans le dossier d’installation de PyCharm

Le dossier d’installation de PyCharm contient lift.exe (signé et vérifié par JetBrains), qui peut exécuter des fichiers arbitraires avec des privilèges élevés.

Un autre fichier dans le répertoire PyCharm est WinProcessListHelper.exe, qui, selon Chako, peut servir à des fins de reconnaissance en énumérant tous les processus en cours d’exécution sur le système.

Un autre exemple d’outil de reconnaissance LOLBAS qu’il a fourni à Breachtrace est mkpasswd.exe, qui fait partie du dossier d’installation de Git, qui peut offrir la liste complète des utilisateurs et leurs identifiants de sécurité (SID).

Le voyage de Chako a commencé avec deux semaines pour formuler une approche correcte pour découvrir de nouveaux fichiers LOLBAS, ce qui a abouti à en trouver trois.

Après avoir compris le concept, il a passé une autre semaine à créer les outils pour automatiser la découverte. L’effort a porté ses fruits, car les scripts lui ont permis de parcourir « l’ensemble du pool de fichiers binaires Microsoft » en environ cinq heures.

La récompense est encore plus grande, cependant. Chako nous a dit que les outils qu’il a développés peuvent également fonctionner sur d’autres plates-formes (par exemple, Linux ou des machines virtuelles cloud personnalisées), soit dans leur état actuel, soit avec des modifications mineures, pour explorer le nouveau territoire de LOLBAS.

Cependant, connaître les menaces LOLBAS peut aider les défenseurs à définir des méthodologies et des mécanismes adéquats pour prévenir ou atténuer les cyberattaques.

Pentera a publié un article avec tous les détails sur la façon dont les chercheurs, les équipes rouges et les défenseurs peuvent trouver de nouveaux fichiers LOLBAS.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *