A hackerek a már telepített programokon keresztül is támadhatják számítógépét. Hogyan lehetséges ez? A trükk lehetővé teszi a támadók számára, hogy megkerüljék a vírusirtó megoldásokat és elkerüljék a felismerést.
Nir Chako, a Pentera kiberbiztonsági cég biztonsági kutatója 11 Microsoft Office programot emelt ki, amelyeket a hackerek kihasználhatnak aljas tevékenységük során. A sebezhető programok között van a Microsoft Access, a Publisher és az Outlook. A témával a Bleeping Computer foglalkozott.
A szakértő először három sebezhető .exe futtatható csomagot talált egy kézi ellenőrzés során. Amikor felfedezte, hogy ezeket egy hackertámadás során ki lehet használni rosszindulatú kód letöltésére, ez további vizsgálatokra ösztönözte.
Egy saját maga által írt automatizált szkript segítségével további hat sebezhető programot fedezett fel. Miután kisebb módosításokat eszközölt ezen a szkriptben, végül kevesebb, mint egy tucatnyi problémás .exe fájlig jutott el a Microsoft Office-ban.
Bár minden esetben törvényes és ártalmatlan programokról van szó a kutató rájött, hogy bizonyos körülmények között kihasználhatják őket a hackerek. Ha a bűnözők sikeresen betörnek az áldozat számítógépére, akkor ezeket a sebezhető programokat arra használhatják, hogy tetszőleges rosszindulatú programokat töltsenek le.
Ezeknek a törvényes programoknak a felhasználása rosszindulatú programok letöltésére és futtatására a támadók számára az álcázás egyik legfontosabb formája. Mivel a rosszindulatú fájljukat az internetről töltik le, vagy közvetlenül a Microsofttól származó programmal indítják el. A rosszindulatú tevékenységet a számítógépre telepített vírusirtó nagyobb valószínűséggel nem veszi észre vagy figyelmen kívül hagyja.
A teljesség kedvéért tegyük hozzá, hogy ezt a támadási módszert az angol „Living Off the Land Binaries And Scripts” kifejezésből LOLBAS-nak becézik. Mivel ezt a fajta támadást egyre nehezebb felismerni, a támadók egyre kreatívabban használják ki az ilyen sebezhető programokat.
A meglévő sebezhetőségek tudatosítása érdekében a biztonsági kutatók a GitHubon található LOLBAS projektben gyűjtik össze felfedezéseiket. A cikk megírásának időpontjában a projekt 187 programokban felfedezett sebezhetőséget tartalmazott, beleértve a konkrét sebezhető funkciókról és azok kihasználhatóságáról szóló információkat is.
A Pentera most más kutatókat és etikus hackereket is felszólít, hogy folytassák a kezdeményezést, és segítsenek további sebezhető programok felkutatásában. Kutatásuk részleteit, valamint a lehetséges folytatásra vonatkozó tanácsokat tanulmányukban részletezik.
Ha érdekesnek találta a cikkünket és további részletekre kíváncsi keresse a DetCom szakértőit a “Kapcsolat” linkre kattintva, vagy az elérhetőségeink bármelyikén.
Tisztelettel,
DetCom csapata
