Halaman

    Social Items

Visit WPN


Living-off-the-Land Binaries and Scripts (LOLBAS) umumnya merujuk pada file yang berasal dari sistem operasi Windows atau didownload dari Microsoft dan memiliki tanda tangan. Mereka adalah alat yang sah, namun dapat disalahgunakan oleh peretas selama aktivitas pasca-eksploitasi untuk mendownload dan/atau menjalankan payload tanpa memicu mekanisme pertahanan.


Menurut penelitian terbaru, executable yang tidak ditandatangani oleh Microsoft dapat digunakan untuk tujuan yang berguna dalam serangan, seperti pengintaian.



Biner Microsoft Office


Proyek LOLBAS saat ini mencakup lebih dari 150 biner, librarie, dan skrip terkait Windows yang dapat membantu penyerang untuk mengeksekusi atau mendownload file berbahaya, atau menghindari daftar program yang disetujui.


Nir Chako, seorang peneliti keamanan di Pentera, perusahaan yang menyediakan solusi validasi keamanan otomatis, baru-baru ini memulai penelitian untuk menemukan file LOLBAS baru dengan menyelidiki executable di suite Microsoft Office.



Dia melakukan pengujian secara manual dan berhasil menemukan tiga executable, yaitu MsoHtmEd.exe, MSPub.exe, dan ProtocolHandler.exe, yang dapat digunakan sebagai downloader untuk file pihak ketiga, sehingga memenuhi kriteria LOLBAS.


Para peneliti berbagi video di akun YouTube mereka yang menunjukkan MsoHtmEd melakukan permintaan GET ke server HTTP pengujian, menunjukkan upaya untuk mendownload file pengujian.


Belakangan dalam penelitiannya, Nir Chako menemukan bahwa MsoHtmEd juga memiliki kemampuan untuk mengeksekusi file.


Dorongan dari keberhasilan awal ini, dan dengan pengetahuan algoritma untuk menemukan file yang sesuai secara manual, peneliti mengembangkan skrip untuk mengotomatiskan proses verifikasi dan menginklusi kumpulan executable yang lebih besar dengan kecepatan lebih tinggi.


“Dengan menggunakan metode otomatis ini, kami berhasil menemukan enam downloader lagi! Secara keseluruhan, kami menemukan sembilan downloader baru! Itu hampir 30% peningkatan dalam daftar downloader resmi LOLBAS,” kata Nir Chako.


Dalam postingan blog hari ini, Nir Chako menjelaskan peningkatan yang ditambahkan ke skrip yang memungkinkan daftar biner di Windows dan mengujinya untuk kemampuan download di luar desain yang dimaksudkan.


Secara keseluruhan, tim peneliti Pentera berhasil menemukan 11 file baru yang memiliki fungsi download dan eksekusi yang sesuai dengan prinsip proyek LOLBAS.



Yang menonjol adalah MSPub.exe, Outlook.exe dan MSAccess.exe, yang dapat digunakan oleh penyerang atau penguji penetrasi untuk mendownload file pihak ketiga, kata peneliti.


Sementara MSPub telah dikonfirmasi memiliki kemampuan untuk mendownload payload dari remote server, namun dua lainnya (Outlook.exe dan MSAccess.exe) belum ditambahkan ke daftar LOLBAS. Menurut Chako, hal ini terjadi karena kesalahan teknis yang menyebabkan kedua file tersebut belum dimasukkan dalam daftar tersebut.



Sumber LOLBAS Baru


Selain biner Microsoft, Chako juga menemukan file dari pengembang lain yang memenuhi kriteria LOLBAS. Salah satu contohnya adalah suite PyCharm, yang populer untuk pengembangan Python.



Folder instalasi PyCharm berisi elevator.exe, yang ditandatangani dan diverifikasi oleh JetBrains, yang memiliki kemampuan untuk mengeksekusi file arbitrary dengan hak istimewa yang lebih tinggi.


File lain di direktori PyCharm adalah WinProcessListHelper.exe, yang menurut Chako dapat digunakan untuk tujuan pengintaian dengan menghitung semua proses yang sedang berjalan di sistem.


Contoh lain dari alat pengintaian LOLBAS adalah mkpasswd.exe, yang merupakan bagian dari folder instalasi Git dan memiliki kemampuan untuk menyediakan seluruh daftar pengguna beserta pengidentifikasi keamanan (SID) mereka.


Perjalanan Chako dimulai dengan dua minggu untuk merumuskan pendekatan yang tepat dalam menemukan file LOLBAS baru, yang akhirnya menghasilkan tiga file baru.


Setelah memahami konsepnya, Nir Chako menghabiskan satu minggu lagi untuk membuat alat otomatisasi yang membantu dalam penemuan file LOLBAS baru. Usahanya berhasil, karena skrip yang dibuatnya memungkinkannya untuk melewati "seluruh kumpulan biner Microsoft" dalam waktu sekitar lima jam.


Hadiahnya bahkan lebih besar. Chako mengatakan bahwa alat yang dia kembangkan juga dapat berjalan di platform lain (seperti Linux atau mesin virtual cloud khusus), baik dalam kondisi saat ini atau dengan sedikit modifikasi, sehingga memungkinkan untuk menjelajahi wilayah LOLBAS baru.


Namun, memiliki pengetahuan tentang ancaman LOLBAS dapat membantu para penjaga keamanan untuk menentukan metodologi dan mekanisme yang memadai untuk mencegah atau mengurangi serangan siber.


Pentera telah menerbitkan makalah yang secara rinci menjelaskan bagaimana peneliti, tim merah, dan penjaga keamanan dapat menemukan file-file LOLBAS baru.

Hacker Dapat Menyalahgunakan File EXE Microsoft Office untuk Mendownload malware



Living-off-the-Land Binaries and Scripts (LOLBAS) umumnya merujuk pada file yang berasal dari sistem operasi Windows atau didownload dari Microsoft dan memiliki tanda tangan. Mereka adalah alat yang sah, namun dapat disalahgunakan oleh peretas selama aktivitas pasca-eksploitasi untuk mendownload dan/atau menjalankan payload tanpa memicu mekanisme pertahanan.


Menurut penelitian terbaru, executable yang tidak ditandatangani oleh Microsoft dapat digunakan untuk tujuan yang berguna dalam serangan, seperti pengintaian.



Biner Microsoft Office


Proyek LOLBAS saat ini mencakup lebih dari 150 biner, librarie, dan skrip terkait Windows yang dapat membantu penyerang untuk mengeksekusi atau mendownload file berbahaya, atau menghindari daftar program yang disetujui.


Nir Chako, seorang peneliti keamanan di Pentera, perusahaan yang menyediakan solusi validasi keamanan otomatis, baru-baru ini memulai penelitian untuk menemukan file LOLBAS baru dengan menyelidiki executable di suite Microsoft Office.



Dia melakukan pengujian secara manual dan berhasil menemukan tiga executable, yaitu MsoHtmEd.exe, MSPub.exe, dan ProtocolHandler.exe, yang dapat digunakan sebagai downloader untuk file pihak ketiga, sehingga memenuhi kriteria LOLBAS.


Para peneliti berbagi video di akun YouTube mereka yang menunjukkan MsoHtmEd melakukan permintaan GET ke server HTTP pengujian, menunjukkan upaya untuk mendownload file pengujian.


Belakangan dalam penelitiannya, Nir Chako menemukan bahwa MsoHtmEd juga memiliki kemampuan untuk mengeksekusi file.


Dorongan dari keberhasilan awal ini, dan dengan pengetahuan algoritma untuk menemukan file yang sesuai secara manual, peneliti mengembangkan skrip untuk mengotomatiskan proses verifikasi dan menginklusi kumpulan executable yang lebih besar dengan kecepatan lebih tinggi.


“Dengan menggunakan metode otomatis ini, kami berhasil menemukan enam downloader lagi! Secara keseluruhan, kami menemukan sembilan downloader baru! Itu hampir 30% peningkatan dalam daftar downloader resmi LOLBAS,” kata Nir Chako.


Dalam postingan blog hari ini, Nir Chako menjelaskan peningkatan yang ditambahkan ke skrip yang memungkinkan daftar biner di Windows dan mengujinya untuk kemampuan download di luar desain yang dimaksudkan.


Secara keseluruhan, tim peneliti Pentera berhasil menemukan 11 file baru yang memiliki fungsi download dan eksekusi yang sesuai dengan prinsip proyek LOLBAS.



Yang menonjol adalah MSPub.exe, Outlook.exe dan MSAccess.exe, yang dapat digunakan oleh penyerang atau penguji penetrasi untuk mendownload file pihak ketiga, kata peneliti.


Sementara MSPub telah dikonfirmasi memiliki kemampuan untuk mendownload payload dari remote server, namun dua lainnya (Outlook.exe dan MSAccess.exe) belum ditambahkan ke daftar LOLBAS. Menurut Chako, hal ini terjadi karena kesalahan teknis yang menyebabkan kedua file tersebut belum dimasukkan dalam daftar tersebut.



Sumber LOLBAS Baru


Selain biner Microsoft, Chako juga menemukan file dari pengembang lain yang memenuhi kriteria LOLBAS. Salah satu contohnya adalah suite PyCharm, yang populer untuk pengembangan Python.



Folder instalasi PyCharm berisi elevator.exe, yang ditandatangani dan diverifikasi oleh JetBrains, yang memiliki kemampuan untuk mengeksekusi file arbitrary dengan hak istimewa yang lebih tinggi.


File lain di direktori PyCharm adalah WinProcessListHelper.exe, yang menurut Chako dapat digunakan untuk tujuan pengintaian dengan menghitung semua proses yang sedang berjalan di sistem.


Contoh lain dari alat pengintaian LOLBAS adalah mkpasswd.exe, yang merupakan bagian dari folder instalasi Git dan memiliki kemampuan untuk menyediakan seluruh daftar pengguna beserta pengidentifikasi keamanan (SID) mereka.


Perjalanan Chako dimulai dengan dua minggu untuk merumuskan pendekatan yang tepat dalam menemukan file LOLBAS baru, yang akhirnya menghasilkan tiga file baru.


Setelah memahami konsepnya, Nir Chako menghabiskan satu minggu lagi untuk membuat alat otomatisasi yang membantu dalam penemuan file LOLBAS baru. Usahanya berhasil, karena skrip yang dibuatnya memungkinkannya untuk melewati "seluruh kumpulan biner Microsoft" dalam waktu sekitar lima jam.


Hadiahnya bahkan lebih besar. Chako mengatakan bahwa alat yang dia kembangkan juga dapat berjalan di platform lain (seperti Linux atau mesin virtual cloud khusus), baik dalam kondisi saat ini atau dengan sedikit modifikasi, sehingga memungkinkan untuk menjelajahi wilayah LOLBAS baru.


Namun, memiliki pengetahuan tentang ancaman LOLBAS dapat membantu para penjaga keamanan untuk menentukan metodologi dan mekanisme yang memadai untuk mencegah atau mengurangi serangan siber.


Pentera telah menerbitkan makalah yang secara rinci menjelaskan bagaimana peneliti, tim merah, dan penjaga keamanan dapat menemukan file-file LOLBAS baru.

Malware News
Comments
0 Comments

No comments

Subscribe to: Post Comments (Atom)