数据观澜人工智能
快捷导航
您的位置:首页>系统运维>>黑客可以滥用Microsoft Office可执行文件下载恶意软件 >

黑客可以滥用Microsoft Office可执行文件下载恶意软件

  发布时间:2025-12-07 14:51:45   作者:玩站小弟   我要评论
LOLBAS文件列表是Windows中存在的合法二进制文件和脚本,可以被恶意利用。该文件列表很快将包括微软的Outlook电子邮件客户软件和Access数据库管理系统的主要可执行文件。Microsof 。

LOLBAS文件列表是黑客Windows中存在的合法二进制文件和脚本 ,可以被恶意利用 。可滥可执该文件列表很快将包括微软的用M意软Outlook电子邮件客户软件和Access数据库管理系统的主要可执行文件 。

Microsoft Publisher应用程序的行文主要可执行文件已经被确认可以从远程服务器下载攻击载荷 。

LOLBAS的下件全称是寄生攻击的二进制文件和脚本,通常被描述为是载恶Windows操作系统原生或从微软下载的已签名文件。

它们是亿华云黑客合法的工具 ,黑客可以在实施利用后活动的可滥可执过程中滥用它们 ,以下载及/或运行攻击载荷,用M意软而不触发防御机制。行文

据最近的下件研究显示 ,连没有经过微软签名的载恶可执行文件也可以用于攻击 ,比如侦察。黑客

Microsoft Office二进制文件

LOLBAS项目目前列出了150多个与Windows相关的可滥可执二进制文件、库和脚本 ,用M意软它们可以帮助攻击者执行或下载恶意文件 ,或者绕过已批准的服务器租用程序列表。

Nir Chako是提供自动化安全验证解决方案的Pentera公司的安全研究员,他最近开始通过查看Microsoft Office套件中的可执行文件来发现新的LOLBAS文件 。

图1. Microsoft Office可执行文件(图片来源 :Pentera)

他手动测试了所有这些程序 ,结果找到了三个程序:MsoHtmEd.exe、MSPub.exe和ProtocolHandler.exe ,它们可以用作第三方文件的下载程序 ,因此符合LOLBAS的标准。

研究人员分享的源码库一段视频显示 ,MsoHtmEd通过GET请求联系上测试HTTP服务器 ,表明试图下载测试文件。

Chako后来在研究中发现MsoHtmEd还可以用来执行文件 。

黑客可以滥用Microsoft Office可执行文件下载恶意软件

这名研究人员受到这一初步成功的鼓舞,并且已经了知道手动查找适当文件的算法 ,随后开发了一个脚本来自动化验证过程,并更快地覆盖数量更多的可执行文件 。

他在近日的一篇博文中解释了添加到脚本中的改进 ,以便能够列出Windows中的二进制文件 ,源码下载并测试它们超出预期设计的下载功能  。

Pentera的这位研究人员共发现了11个具有下载和执行功能的新文件 ,这些功能符合LOLBAS项目的原则 。

黑客可以滥用Microsoft Office可执行文件下载恶意软件

这位研究人员表示,最突出的是MSPub.exe、Outlook.exe和MSAccess.exe ,攻击者或渗透测试人员可以利用它们下载第三方文件 。

虽然MSPub已经被证实可以从远程服务器下载任意的攻击载荷,但另外两个文件还没有被添加到LOLBAS列表中 。模板下载Chako表示,由于技术错误,他们没有被包括在内 。

Chako说 :“我不小心提交了3个合并请求,提交的代码都一样,所以我需要有条不紊地再次提交,这样它们才能正式被加入到项目中。要不是我这方面的笔误  ,它们将成为项目的一部分 。”

新的LOLBAS来源

除了微软的二进制文件外  ,云计算Chako还发现来自其他开发者的文件符合LOLBAS标准 ,其中一个例子就是用于Python开发的流行的PyCharm套件。

图3. PyCharm安装文件夹中已签名的可执行文件(图片来源 :Pentera)

PyCharm安装文件夹包含elevator.exe(由JetBrains签名和验证),它可以以提升的权限执行任意文件。

PyCharm目录中的另一个文件是WinProcessListHelper.exe, Chako说它可以通过枚举系统上运行的所有进程来实现侦察目的。

他所举的另一个LOLBAS侦察工具的例子是mkpasswd.exe ,它是Git安装文件夹的一部分 ,可以提供用户及其安全标识符(SID)的整份列表。

Chako花了两周的时间来设计一种正确的方法以发现新的LOLBAS文件 ,结果发现了三个文件 。

在理解了这个概念之后 ,他又花了一周的时间来创建自动化发现的工具 。他的付出得到了回报 ,因为这些脚本使他能够在大约5个小时内浏览遍“整个微软二进制文件池”。

不过 ,回报更大 。Chako告诉我们,他开发的工具还可以在其他平台上运行(比如Linux或自定义云虚拟机)  ,无论是在当前状态还是经过微小修改,以便探索新的LOLBAS领域。

然而,了解LOLBAS威胁可以帮助防御人员定义适当的方法和机制来预防或减轻网络攻击。

Pentera发表了一篇论文(https://pentera.io/resources/whitepapers/the-lolbas-odyssey-finding-new-lolbas-and-how-you-can-too/)  ,详细介绍了研究人员、红队队员和防御人员如何能找到新的LOLBAS文件  。

本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/如若转载,请注明原文地址

  • Tag:

相关文章

  • 了解攻击影响的基本DDoS统计信息

    了解DDoS活动的性质和后果对于公司和个人都是至关重要的,因为他们正在努力保护自己的在线存储并确保关键服务的不间断流动。在本文中,你将找到我们在2023年介绍的DDoS攻击调查的摘录,这些数据将使你的
    2025-12-07

  • 智能配电技术在数据中心的应用及注意事项

    智能配电技术在数据中心中的应用主要是为了提高能源效率、减少能源浪费、降低成本以及提高数据中心的可靠性。以下是智能配电技术在数据中心中的常见应用:智能断路器:智能断路器可以对电力负载进行监测和控制,通过
    2025-12-07

  • oppo mirror5配置怎么样

    全新升级款oppo mirror5以轻薄的风格,玻璃材质吸引了很多小伙伴喜爱,那么oppo mirror5配置怎么样呢?下面一起和小乐哥来了解oppo mirror5配置参数吧! 年初的
    2025-12-07

  • 2017电信卡信号质量调查

    近年来,随着智能手机的普及和移动互联网的快速发展,电信卡成为人们生活中不可或缺的一部分。然而,电信卡的信号质量一直是用户关注的焦点。本文将对2017年电信卡的信号质量进行调查,揭秘真实情况,并对未来发
    2025-12-07

  • 聊聊数据匿名化技术

    前言近年来,随着数据挖掘,机器学习等技术的发展与深入,企业从普通用户处收集到的大量的数据就变得越来越有价值,对这些数据进行分析处理可以更好的了解用户的习惯和喜好,从而向用户提供更加个性化的服务,最终使
    2025-12-07

  • T600真的值得买吗?(以T600为例,探究是否购买该车型的价值)

    随着汽车市场的不断发展,消费者对于购车需求也越来越高。在众多汽车品牌和车型中,T600作为一款备受关注的SUV车型,备受瞩目。但是,T600是否真的值得买呢?本文将从不同的角度进行分析,为大家解答这个
    2025-12-07

最新评论