Microsoft Officeスイートで新たなLOLBASダウンローダーが複数見つかる
環境寄生型(Living off the Land / LOTL)攻撃に利用できるバイナリやスクリプト「LOLBAS」のリストに、Microsoft Publisherの実行ファイル(MSPub.exe)が新たに加わった。またこのほかに、Microsoft Officeスイート内のOutlookやAcessの実行ファイル(Outlook.exe、MSAccess.exe)などもまもなくLOLBASリストに追加される見込みだという。
LOLBASとは?
LOLBAS(Living-off-the-Land Binaries and Scripts)とは、環境寄生型(Living off the Land / LOTL)攻撃に利用されるバイナリやスクリプトのことで、攻撃者はこれらを利用して侵入先の環境に悪意あるファイルをダウンロードしたり、実行したりする可能性がある。なお、環境寄生型攻撃とはOSに元から組み込まれているツールや正規のソフトウェアなどを使って行われる、正当なアクティビティとの区別が付きづらい攻撃を指す。
既知のLOLBASは、「LOLBASプロジェクト」というプロジェクトのもとリスト化されており、ここには現在150超のWindows関連バイナリやスクリプトが掲載されている。
Microsoft Officeスイート内の新たなLOLBAS
セキュリティ企業Penteraの研究者Nir Chako氏は最近、新たなLOLBASを発見するため、Microsoft Officeスイート内のあらゆるバイナリを手動でテスト。すると、MsoHtmEd.exe、MSPub.exe、ProtocolHandler.exeの3つはサードパーティファイルのダウンローダーとして利用可能なLOLBASとしての基準を満たすファイルであることが判明したという。
Chako氏はその後、バイナリをより素早く自動で検証できるツールを作成し、これを使ってさらなる調査を行なった結果、以下合計11種の新たなLOLBAS候補の発見に至っている。
・ProtocolHandler(ダウンロード機能、LOLBASプロジェクト追加済み)
・MSPub(ダウンロード機能、追加済み)
・MsoHtmEd(ダウンロードおよび実行機能、追加済み)
・PresentationHost(ダウンロード機能、追加済み)
・ConfigSecurityPolicy(ダウンロード機能、済み)
・InstallUtilダウンロード機能、追加済み)
・MSHta(ダウンロード機能、追加済み)
・Outlook(ダウンロード機能、技術的エラーにより未追加だがまもなく追加見込み)
・MSAccess(ダウンロード機能、未追加)
・Sftp(実行機能、未追加)
・Scp(実行機能、未追加)
LOLBASの理解は適切なサイバー攻撃対策を行う上で重要
Chako氏の調査により、マイクロソフト環境に限らず、PyCharmスイートやGitのインスタレーションフォルダにもLOLBASとしての基準を満たす実行ファイルが見つかっている。環境寄生型攻撃は通常のアクティビティとの判別が困難な場合があることを踏まえると、こうした調査結果やLOLBASプロジェクトなどを参考に、事前にLOLBASについての理解を深めて適切な対策を講じておくことが重要であると言えるだろう。
(情報源:BleepingComputer “Hackers can abuse Microsoft Office executables to download malware”、Pentera ”The LOL Isn’t So Funny When It Bites You in the BAS”)