La lista de archivos LOLBAS, archivos binarios y scripts legítimos presentes en Windows que pueden utilizarse con fines maliciosos, pronto incluirá los principales ejecutables para el cliente de correo electrónico Outlook de Microsoft y el sistema de administración de bases de datos Access.
Ya se ha confirmado que el ejecutable principal de la aplicación Microsoft Publisher puede bajar cargas desde un servidor remoto.
LOLBAS significa Living-off-the-Land Binaries and Scripts y generalmente se describen como archivos firmados que son nativos del sistema operativo Windows o descargados de Microsoft.
Son herramientas legítimas de las que los piratas informáticos pueden abusar durante la actividad posterior a la explotación para descargar y/o ejecutar cargas útiles sin activar mecanismos defensivos.
Según una investigación reciente, incluso los ejecutables que no están firmados por Microsoft sirven para propósitos que son útiles en ataques, como el reconocimiento.
Binarios de Microsoft Office
El proyecto LOLBAS actualmente enumera más de 150 archivos binarios, bibliotecas y secuencias de comandos relacionados con Windows que pueden ayudar a los atacantes a ejecutar o descargar archivos maliciosos u omitir listas de programas aprobados.
Nir Chako, un investigador de seguridad de Pentera , una empresa que proporciona una solución de validación de seguridad automatizada, se dispuso recientemente a descubrir nuevos archivos LOLBAS al observar los ejecutables en la suite de Microsoft Office.
: Pentera
Los probó todos manualmente y encontró tres, MsoHtmEd.exe , MSPub.exe y ProtocolHandler.exe , que podrían usarse como descargadores de archivos de terceros, por lo que se ajustaban a los criterios de LOLBAS.
Los investigadores compartieron un video que muestra a MsoHtmEd llegando al servidor HTTP de prueba con una solicitud GET, lo que indica un intento de descargar un archivo de prueba.
Más adelante en su investigación, Chako descubrió que MsoHtmEd también se podía usar para ejecutar archivos.
Animado por este éxito inicial y ya conociendo el algoritmo para encontrar los archivos apropiados manualmente, el investigador desarrolló un script para automatizar el proceso de verificación y cubrir un grupo más grande de ejecutables más rápido.
“¡Usando este método automatizado, logramos encontrar seis descargadores más! En total, ¡descubrimos nueve descargadores nuevos! Eso es casi un 30% de aumento en la lista oficial de descargadores de LOLBAS” - Nir Chako
En una publicación de blog, explica los refinamientos agregados al script que permitieron enumerar los archivos binarios en Windows y probarlos para capacidades de descarga más allá del diseño previsto.
En total, el investigador de Pentera descubrió 11 nuevos archivos con funcionalidades de descarga y ejecución que cumplen con los principios del proyecto LOLBAS.
| LOLBÁS | Funcionalidad | Estado del proyecto LOLBAS |
| Controlador de protocolo | Descargar | Aceptado |
| MSPub | Descargar | Aceptado |
| MsoHtmEd | Descargar, Ejecutar | Aceptado |
| PresentationHost | Descargar | Aceptado |
| ConfigSecurityPolicyConfigSecurityPolicy | Descargar | Aceptado |
| InstallUtil | Descargar | Aceptado |
| MSHta | Descargar | Aceptado |
| panorama | Descargar | Solicitud de extracción |
| MSAcceso | Descargar | Solicitud de extracción |
| Sftp | Ejecutar | Solicitud de extracción |
| scp | Ejecutar | Solicitud de extracción |
Se destacan MSPub.exe, Outlook.exe y MSAccess.exe, que un atacante o un probador de penetración podría usar para descargar archivos de terceros, dice el investigador.
Si bien se ha confirmado que MSPub puede bajar cargas útiles arbitrarias desde un servidor remoto, los otros dos aún no se han agregado a la lista LOLBAS. No se han incluido debido a un error técnico, dijo Chako.
“Accidentalmente envié 3 solicitudes de extracción con el mismo código que se comprometió, por lo que necesito volver a enviarlas de manera ordenada para que puedan incluirse oficialmente en el proyecto. Dejando a un lado el error administrativo, serán parte del proyecto”. -Nir Chako
Nuevas fuentes LOLBAS
Además de los binarios de Microsoft, Chako también encontró archivos de otros desarrolladores que cumplen con los criterios de LOLBAS, un ejemplo es la popular suite PyCharm para el desarrollo de Python.
la fuente de la carpeta de instalación de PyCharm: Pentera
La carpeta de instalación de PyCharm contiene lift.exe (firmado y verificado por JetBrains), que puede ejecutar archivos arbitrarios con privilegios elevados.
Otro archivo en el directorio de PyCharm es WinProcessListHelper.exe , que Chako dice que puede servir para fines de reconocimiento al enumerar todos los procesos que se ejecutan en el sistema.
Otro ejemplo de una herramienta de reconocimiento de LOLBAS que proporcionó es mkpasswd.exe , parte de la carpeta de instalación de Git, que puede ofrecer la lista completa de usuarios y sus identificadores de seguridad (SID).
El viaje de Chako comenzó con dos semanas para formular un enfoque correcto para descubrir nuevos archivos LOLBAS, lo que resultó en encontrar tres.
Después de comprender el concepto, pasó otra semana creando las herramientas para automatizar el descubrimiento. El esfuerzo valió la pena, ya que los scripts le permitieron revisar “todo el grupo de archivos binarios de Microsoft” en unas cinco horas.
Sin embargo, la recompensa es aún mayor. Chako dijo que las herramientas que desarrolló también pueden ejecutarse en otras plataformas (p. ej., Linux o máquinas virtuales personalizadas en la nube), ya sea en su estado actual o con modificaciones menores, para explorar el nuevo territorio de LOLBAS.
Sin embargo, conocer las amenazas LOLBAS puede ayudar a los defensores a definir metodologías y mecanismos adecuados para prevenir o mitigar los ciberataques.
Pentera publicó un artículo con detalles completos sobre cómo los investigadores, los miembros del equipo y los defensores pueden encontrar nuevos archivos LOLBAS.
