Hacker ໃຊ້ຟາຍປະຕິບັດການຂອງ Microsoft Office ເພື່ອດາວໂຫຼດມັນແວ (Malware)

ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ ເຜີຍແຜ່​ການ​ຄົ້ນ​ພົບ​ LOLBAS files ຊຶ່ງ​ເປັນ​ໄບ​ນາ​ຣີ (Binary) ​ ແລະ​ ສະຄຣິບ (Script) ​ທີ່​ມີ​ໃຊ້​ງານ​ຢູ່ໃນ​ Windows ຢ່າງ​ຖືກ​ຕ້ອງ​ ຊຶ່ງ​ສາມາດ​ຖືກ​ນຳ​ໄປ​ໃຊ້ ​ເພື່ອ​ວັດ​ຖຸ​ປະສົງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ໄດ້​ ຊຶ່ງກວດ​ພົບ​ການ​ເອີ້ນ​ໃຊ້​ຟາຍ​ executable ຂອງ​ Microsoft’s Outlook email client ແລະ​ Access database management system ລວມທັງ​ LOLBAS files ສຳລັບ​ Microsoft Publisher application ແລະ​ ຍັງ​ສາມາດດາວ​​ໂຫຼດ​ເພ​​ໂຫຼດ (Payload) ​ຈາກ​ເ​ຊີເວີ​ພາຍນອກ​ໄດ້​ອີກ​ດ້ວຍ​.

LOLBAS ຫຍໍ້​ມາ​ຈາກ​ Living-off-the-Land Binaries and Scripts ເປັນ​ຟາຍ​ທີ່​ໄດ້ຮັບ​ການ​ຮັບຮອງ​ຈາກ​ລະບົບ​ປະຕິບັດການ​ Windows ຫຼື ​ດາວ​ໂຫຼດ​ຈາກ​ Microsoft ທີ່​ຖືກ​ Hacker ນຳ​ມາ​ໃຊ້​ໃນ​ການ​ດາວ​ໂຫຼດ​ ຫຼື ​ເອີ້ນ​ໃຊ້​ງານ​ເພ​ໂຫຼດ​ອັນຕະລາຍ​ໄດ້ ​ໂດຍ​ບໍ່​ຖືກ​ກວດ​ຈັບ.​ ນອກ​ຈາກ​ນີ້​, ຈາກ​ການ​ວິ​ໄຈ​ພົບ​ວ່າ​ ເຖິງຈະບໍ່ແມ່ນ​ໂປຣ​ແກຣມ​ທີ່​ໄດ້ຮັບ​ການ​ຮັບຮອງ​ໂດຍ​ Microsoft ກໍ່​ສາມາດ​ນຳ​ມາ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້ ​ເຊັ່ນ​ກັນ​ ເຊັ່ນ​: ການ​ Reconnaissance.

Microsoft Office binaries

ປັດຈຸບັນ​ LOLBAS project ຊຶ່ງ​ເປັນ​ໂຄງ​ການ​ທີ່​ຄົ້ນ​ຫາ​ LOLBAS ອັນຕະລາຍ​ ໄດ້​ຄົ້ນ​ພົບລາຍ​ການ​ໄບ​ນາ​ຣີ​ ໄລ​ບ​ຣາ​ຣີ (Binary Library)​ ແລະ ​ສະຄຣິບ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ Windows ຫຼາຍກວ່າ​ 150 ລາຍ​ການ​ ທີ່​ສາມາດ​ເຮັດໃຫ້​ Hacker ສັ່ງ​ການ​ ຫຼື ​ດາວ​ໂຫຼດ​ຟາຍ​ທີ່​ເປັນ​ອັນຕະລາຍ​ ແລະ​ bypass ລາຍ​ການ​ໂປຣ​ແກຣມ ​ທີ່​ໄດ້ຮັບ​ອະ​ນຸມັດໄດ້​.

Nir Chako ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ ຂອງ​ Pentera ບໍລິສັດ​ທີ່​ໃຫ້​ບໍລິການ​ໂຊ​ລູ​ຊັ່ນ​ (Solution) ການ​ກວດ​ສອບ​ຄວາມ​ປອດໄ​ພແບບ​ອັດ​ຕະໂນ​ມັ​ດ ໄດ້​ວິໄຈ ​ເພື່ອ​ຄົ້ນ​ຫາ​ຟາຍ​ LOLBAS ໃໝ່​ໆ​ ທີ່​ຢູ່ໃນ​ຟາຍ​ປະຕິບັດການ​ໃນ​ຊຸດ​ໂປຣ​ແກຣມ​ຂອງ​ Microsoft Office.

ໄດ້​ຄົ້ນ​ພົບ​ສາມ​ລາຍ​ການ​ ໄດ້​ແກ່​: MsoHtmEd.exe, MSPub.exe ແລະ​ ProtocolHandler.exe ທີ່​ສາມາດ​ໃຊ້​ ເປັນ​ໂປຣ​ແກຣມ ​ເພື່ອ​ດາວ​​ໂຫຼດ​ຟາຍ​ຈາກ​ third-party ໄດ້​ ຊຶ່ງ​ຖືກຕ້ອງກັບ​ເກນ​ຂອງ​ໂຄງ​ການ​ LOLBAS ​ພາຍ​ຫຼັງ​ຈາກ​ໄດ້​ທົດສອບ​ພົບ​ວ່າ​ MsoHtmEd ສາມາດ​ເຂົ້າ​ເຖິງ​ HTTP server ແລະ​ ​ GET request ເພື່ອ​ດາວ​​ໂຫຼດ​ຟາຍ​ ລວມທັງ​ພົບ​ວ່າ​ MsoHtmEd ສາມາດ​ສັ່ງ​ run ຟາຍ​ໄດ້​ອີກ​ດ້ວຍ​. ຫຼັງ​ຈາກ​ນັ້ນ​, Chako ໄດ້​ພັດທະນາ​ສະຄຣິບ ​ເພື່ອ​ເຮັດໃຫ້​ຂະ​ບວນ​ການ​ ເປັນ​ໄປ​ໂດຍ​ອັດ​ຕະໂນ​ມັ​ດ ແລະ​ ຄອບ​ຄຸມ​ປະຕິບັດການ​ທີ່​ໃຫຍ່​ຂຶ້ນ​.

ນັກ​ວິ​ໄຈຈາກ​ Pentera ຍັງ​ໄດ້​ຄົ້ນ​ພົບ​ຟາຍ​ໃໝ່​ 11 ຟາຍ ທີ່​ສາມາດ​ດາວ​​ໂຫຼດ​ ແລະ​ ເອີ້ນ​ໃຊ້​ງານ​ຟັງ​ຊັ່ນ​ທີ່​ຖືກຕ້ອງຕາມ​ຫຼັກ​ການ​ຂອງ​ໂຄງ​ການ​ LOLBAS project ດັ່ງ​ນີ້​:

​ໂດດ​ເດັ່ນ​ທີ່ສຸດ​ຄື​ MSPub.exe, Outlook.exe ແລະ​ MSAccess.exe ທີ່​ເຮັດໃຫ້​ Hacker ຫຼື​ penetration tester ສາມາດ​ໃຊ້​ ເພື່ອ​ດາວ​​ໂຫຼດ​ຟາຍ​ຈາກ​ third-party ໄດ້​ ໂດຍ​ MSPub ໄດ້ຮັບ​ການ​ຢືນຢັນ​ວ່າ​ສາມາດ​ດາວ​​ໂຫຼດ​ payloads ຈາກ​ເ​ຊີ​ເວີ​ພາຍນອກ​ໄດ້​ ແຕ່​ອີກ​ 2 ລາຍ​ການ​ນັ້ນ ຍັງ​ບໍ່​ໄດ້​ຖືກ​ເພີ່ມ​ເຂົ້າໄປ​ໃນ​ລາຍ​ການ​ LOLBAS ເນື່ອງ​ຈາກ​ຂໍ້​ຜິດ​ພາດ​ທາງ​ເຕັກ​ນິກ​ ທີ່ກວດພົບ​ບາງຢ່າງ​.

ພົບ​ LOLBAS ແຫຼ່ງ​ໃໝ່​

ນອກ​ຈາກ​ໄບ​ນາ​ຣີ ຂອງ​ Microsoft ແລ້ວ​ ນັກ​ວິໄ​ຈ​ຈາກ​ Pentera ໄດ້​ຄົ້ນ​ພົບ​ຟາຍຈາກ​ນັກ​ພັດທະນາ​ລາຍ​ອື່ນ​ ທີ່​ຖືກຕ້ອງຕາມ​ເກນ​ຂອງ​ LOLBAS ຕົວ​ຢ່າງ​ໜຶ່ງ​ ຄື​ PyCharm suite ຊຶ່ງ​ເປັນ​ໂປຣ​ແກຣມ​ຍອດ​ນິຍົມ​ສຳລັບ​ການ​ພັດທະນາ​ Python.

ໂຟນ​ເດີ​ (Folder) ​ການ​ຕິດ​ຕັ້ງ​ PyCharm ຈະ​ມີ​ຟາຍ​ lifter.exe (ໄດ້ຮັບ​ການ​ຮັບຮອງ​ ແລະ​ ກວດ​ສອບ​ໂດຍ​ JetBrains) ທີ່​ສາມາດ​ເອີ້ນ​ໃຊ້​ຟາຍດ້ວຍ​ສິດ​ລະ​ດັບ​ສູງ​ ລວມ​ທັງ​ຟາຍ​ອື່ນ​ໃນ​ໄດ​ເຣັກ​ທໍ​ຣີ (Directory) PyCharm ຄື​ WinProcessListHelper.exe ທີ່​ສາມາດ​ບອກ​ຂໍ້​ມູນ​ຂະ​ບວນ​ການ​ທັງ​ໝົດ ​ທີ່​ເຮັດວຽກ​ເທິງ​ລະບົບ​ ຊຶ່ງ​ເປັນ​ຂັ້ນ​ຕອນ​ສຳຄັນ​ສຳລັບ​ການເຮັດ​ Reconnaissance ເທິງ​ລະບົບ​ ແລະ ​ອີກ​ຕົວ​ຢ່າງ​ຂອງ​ເຄື່ອງ​ມື​ສອດແນມ​ ຄື​ mkpasswd.exe ຊຶ່ງ​ເປັນ​ສ່ວນຫນຶ່ງ​ຂອງ​ໂຟນ​ເດີ​ການ​ຕິດ​ຕັ້ງ​ Git ຊຶ່ງ​ສາມາດ​ບອກ​ຂໍ້​ມູນລາຍ​ຊື່​ຜູ້​ໃຊ້​ທັງ​ໝົດ​ ແລະ​ security identifiers (SIDs).

ຕໍ່​ມາ​ທາງ​ນັກ​ວິ​ໄຈຈາກ​ Pentera ສ້າງ​ເຄື່ອງ​ມື​ ເພື່ອ​ຄົ້ນ​ຫາ​ໂດຍ​ອັດ​ຕະໂນ​ມັ​ດ​ ຊຶ່ງ​ສະຄ​ຣິບ​​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ສາມາດ​ອ່ານ​ “ກຸ່ມ​ໄບ​ນາ​ຣີ​ທັງ​ໝົດ​ຂອງ​ Microsoft” ໄດ້​ ພາຍ​ໃນ​ເວລາ​ປະ​ມານ​ຫ້າ​ຊົ່ວ​ໂມງ​ ລວມທັງເຄື່ອງ​ມື​ທີ່​ພັດທະນາ​ດັ່ງ​ກ່າວ​ ຍັງ​ສາມາດ​ເຮັດວຽກ​ເທິງ​ແພັດ​ຟອມ​ (Platform) ອື່ນ​ໆ​ (ເຊັ່ນ:​ Linux ຫຼື​ custom cloud virtual machines) ເພື່ອ​ຄົ້ນ​ຫາ​ LOLBAS ໃໝ່​ໆ​.

​ຂໍ້​ມູນ​ LOLBAS ເຫຼົ່າ​ນີ້​ ຊ່ວຍ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ສາມາດ​ວາງ​ແຜນ​ກຳນົດ​ວິທີ​ການ​ ແລະ ​ກົນ​ໄກ​ ເພື່ອ​ປ້ອງ​ກັນ​ ຫຼື ​ຫຼຸດຜ່ອນ​ການ​ໂຈມ​ຕີ​ຈາກ​ LOLBAS ໄດ້​ຕໍ່ໄປ​.

ເອກະສານອ້າງອີງ:

https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/https://lolbas-project.github.io/
https://www.i-secure.co.th/2023/08/hacker-%e0%b9%83%e0%b8%8a%e0%b9%89%e0%b9%84%e0%b8%9f%e0%b8%a5%e0%b9%8c%e0%b8%9b%e0%b8%8f%e0%b8%b4%e0%b8%9a%e0%b8%b1%e0%b8%95%e0%b8%b4%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b8%82%e0%b8%ad%e0%b8%87-microsoft-of/
 

539 Views