Бинарники Microsoft Office могут использоваться для загрузки вредоносов

Екатерина Быстрова 04 Августа 2023 - 10:30

...

Бинарники Microsoft Office могут использоваться для загрузки вредоносов

Специалисты пророчат скорое пополнение числа легитимных файлов в Windows, которые могут использоваться в киберпреступных целях. В частности, эксперты отмечают потенциальную угрозу исполняемых файлов Microsoft Outlook и Access, а также бинарников Microsoft Office.

Такие файлы называются LOLBAS — Living-off-the-Land Binaries and Scripts. Проблема в том, что эти родные для Windows файлы можно использовать для загрузки и запуска пейлоадов, не вызывая при этом срабатывания защитных механизмов.

На посвящённой LOLBAS странице перечислены более 150 бинарников, библиотек и скриптов, связанных с Windows. Все они в той или иной степени могут выполнять задачи злоумышленников.

Нир Чако, один из исследователей в Pentera, недавно заинтересовался поиском новых LOLBAS, а именно — пакетом Microsoft Office:

Он протестировал все исполняемые файлы и выделил три: MsoHtmEd.exe, MSPub.exe и ProtocolHandler.exe. По словам Чако, они могут использоваться для загрузки сторонних файлов, а значит, полностью попадают под определение LOLBAS.

Специалист поделился с изданием BleepingComputer видеороликом, в котором демонстрируется GET-запрос от MsoHtmEd, пытающийся загрузить тестовый файл:

«Используя такой автоматизированный метод, мы смогли выявить ещё шесть загрузчиков! В общей сложности — девять! Это, по сути, прирост в 30% к списку LOLBAS», — объясняет сам Чако.

Позже стало понятно, что Pentera нашла 11 новых файлов с функциональностью, позволяющей загрузить и запустить сторонний файл. Вот они:

LOLBAS	Функциональность	Статус в проекте LOLBAS
ProtocolHandler	Скачивание	Принято
MSPub	Скачивание	Принято
MsoHtmEd	Скачивание, Выполнение	Принято
PresentationHost	Скачивание	Принято
ConfigSecurityPolicy	Скачивание	Принято
InstallUtil	Скачивание	Принято
MSHta	Скачивание	Принято
Outlook	Скачивание	Отправлен запрос
MSAccess	Скачивание	Отправлен запрос
Sftp	Выполнение	Отправлен запрос
Scp	Выполнение	Отправлен запрос

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Июля 2025 - 12:30

Корпорации Positive Technologies ВирусБлокАда

Positive Technologies запустила антивирусную лабораторию

Компания Positive Technologies объявила о создании антивирусной лаборатории на базе своего экспертного центра безопасности (PT ESC). В неё вошли специалисты из нескольких внутренних команд, которые уже занимались анализом зловредов.

Кроме того, в работе лаборатории будут принимать участие эксперты белорусской компании «ВИРУСБЛОКАДА», долю в которой Positive Technologies приобрела в начале года.

Лаборатория разрабатывает правила для обнаружения вредоносных файлов в песочницах, сетевых решениях и на конечных устройствах.

Среди задач — изучение новых методов маскировки, которые используют злоумышленники, и регулярное обновление баз с сигнатурами, YARA-правил и поведенческих шаблонов.

Специалисты также работают над автоматизацией анализа зловредов и создают прототипы новых механизмов защиты на основе накопленной аналитики.

Один из источников информации — файлы, которые пользователи присылают на специальную почту. Команды обмениваются результатами исследований и оперативно внедряют новые методы обнаружения в продуктах компании.

Штат лаборатории уже почти полностью сформирован, но в будущем его планируют расширять.