MENU
Untuk Anda
Kanal
About Us
Dia menguji semuanya secara manual dan menemukan MsoHtmEd.exe, MSPub.exe, dan ProtocolHandler.exe yang dapat digunakan sebagai pengunduh untuk file pihak ketiga, sehingga sesuai dengan kriteria LOLBAS.
Chako menemukan bahwa MsoHtmEd juga dapat digunakan untuk mengeksekusi file. Ia dan tim sekarang sudah mengembangkan skrip untuk mengotomatiskan proses verifikasi dan mencakup kumpulan executable yang lebih besar dengan lebih cepat.
“Dengan menggunakan metode otomatis ini, kami berhasil menemukan enam pengunduh lagi! Secara keseluruhan, kami menemukan sembilan pengunduh baru! Itu hampir 30% peningkatan dalam daftar pengunduh resmi LOLBAS," kata Chako.
Chako menjelaskan penyempurnaan yang ditambahkan ke skrip yang memungkinkan daftar binari di Windows dan mengujinya untuk kemampuan mengunduh di luar desain yang dimaksudkan. Secara total, ditemukan 11 file baru dengan fungsi unduh dan eksekusi yang memenuhi prinsip proyek LOLBAS.
Yang paling menonjol adalah MSPub.exe, Outlook.exe dan MSAccess.exe. Menurut Chako, ini karena mereka dapat digunakan oleh penyerang atau penguji penetrasi untuk mengunduh file pihak ketiga.
MSPub telah dikonfirmasi dapat mengunduh muatan sewenang-wenang dari server jarak jauh, dua lainnya belum ditambahkan ke daftar LOLBAS. Menurut Chako, mereka belum dimasukkan karena kesalahan teknis.