{"id":287342,"date":"2023-10-24T00:07:00","date_gmt":"2023-10-23T22:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287342"},"modified":"2023-11-01T11:58:15","modified_gmt":"2023-11-01T10:58:15","slug":"lolbin-mit-workfolders-exe-unter-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/24\/lolbin-mit-workfolders-exe-unter-windows\/","title":{"rendered":"LOLBin mit WorkFolders.exe unter Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich wei\u00df nicht, ob wie breit das bekannt ist, aber die legitime Windows-Anwendung WorkFolders.exe <\/em>l\u00e4sst sich verwenden, um andere .exe-Programme im Windows-Ordner System32 <\/em>oder im aktuellen Ordner zu starten. Dies erm\u00f6glicht Malware sogenannte LOLBin-Angriffe, bei der legitime Betriebssystemdateien zur Ausf\u00fchrung von Schadprogrammen missbraucht werden. WorkFolders.exe <\/em>l\u00e4sst sich quasi als RunDLL-Ersatz missbrauchen.<\/p>\n

<\/p>\n

LOLBin, ein kurzer Einblick<\/h2>\n

\"\"Das K\u00fcrzel LOL steht f\u00fcr\u00a0 \"living off the land\", ein Begriff, der von den Malware-Forschern Christopher Campbell und Matt Greaber gepr\u00e4gt wurde, um die Verwendung von vertrauensw\u00fcrdigen, vorinstallierten Systemtools zur Verbreitung von Malware zu erkl\u00e4ren. Diese Cynet-Seite<\/a> erkl\u00e4rt, dass es verschiedene Arten von LOL-Techniken gibt. Darunter befinden sich auch sogenannte LOLBins, die Windows-Bin\u00e4rdateien verwenden, um b\u00f6sartige Aktivit\u00e4ten zu verbergen. Bei LOLLibs werden Bibliotheken verwendet, und LOLScripts verwenden Skripte zur Ausf\u00fchrung von Malware. Kaspersky hat in diesem Artikel<\/a> eine Liste der popul\u00e4rsten LOLBins aufgef\u00fchrt. Und es gibt ein GitHub-Projekt<\/a>, welches sich zum Ziel gesetzt hat, jede Bin\u00e4rdate, jede Bibliothek und jedes Script, dass f\u00fcr LOL-Techniken missbraucht werden kann, zu dokumentieren.<\/p>\n

Was macht WorkFolders.exe?<\/h2>\n

In Windows wird eine ausf\u00fchrbare Programmdatei WorkFolders.exe<\/em> im Unterordner System32 <\/em>mitgeliefert. Es handelt sich um eine legitime Anwendung von Windows, und die\u00a0 .exe-Datei ist in nachfolgendem Screenshot im betreffenden Windows-Ordner zu sehen.<\/p>\n

\"WorkFolders.exe<\/p>\n

Ruft man diese Programmdatei auf, erscheint das Fenster Arbeitsordner <\/em>zur Verwaltung dieser Arbeitsordner unter Windows (siehe folgender Screenshot). Der Text weist darauf hin, dass man im Dialogfeld die Arbeitsordner verwalten k\u00f6nne, um Arbeitsdateien auf allen verwendeten Ger\u00e4ten verf\u00fcgbar zu machen, auch wenn man offline sei.<\/p>\n

\"WorkFolders.exe<\/p>\n

Microsoft erkl\u00e4rt hier<\/a>, dass es sich bei \"Work Folders\" (so der englische Begriff) um ein Windows Server Rollendienst f\u00fcr Dateiserver sei, und dem Benutzer eine konsistente M\u00f6glichkeit bietet, auf Arbeitsdateien von PCs und Ger\u00e4ten aus zuzugreifen. Mit Work Folders sollen Benutzer ihre Arbeitsdateien nicht nur auf Firmen-PCs speichern und darauf zugreifen k\u00f6nnen, sondern auch auf privaten Computern und Ger\u00e4ten, die oft als Bring-your-own-Device (BYOD) bezeichnet werden.<\/p>\n

Die Benutzer sollen einen bequemen Speicherort f\u00fcr Arbeitsdateien erhalten und k\u00f6nnen von \u00fcberall aus auf diese Dateien zugreifen. Unternehmen nutzen Work Folders, um die Kontrolle \u00fcber Unternehmensdaten zu behalten. Sie k\u00f6nnen Dateien auf zentral verwalteten Dateiservern speichern und Richtlinien f\u00fcr Benutzerger\u00e4te wie Verschl\u00fcsselung und Kennw\u00f6rter f\u00fcr die Bildschirmsperre festlegen. Verf\u00fcgbar sei der Dienst unter Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 und Windows Server 2016.<\/p>\n

LOLBin mit WorkFolders.exe<\/h2>\n

Vor einigen Stunden bin ich dann auf nachfolgenden Tweet gesto\u00dfen, der mich recht nachdenklich zur\u00fcck lie\u00df. Elliot zeigt, wie sich die Programmdatei WorkFolders.exe <\/em>missbrauchen l\u00e4sst, um weitere Programmdateien aufzurufen.<\/p>\n

\"LOLBin<\/a><\/p>\n

In seinem Testszenario kopiert er die calc.exe<\/em> als control.exe aus <\/em>dem Windows-Ordner System32 <\/em>in einen lokalen Ordner und ruft danach WorkFolders.exe <\/em>auf. Die Animation zeigt dann, dass sich statt des Dialogfelds Arbeitsordner verwalten<\/em> der Windows-Rechner \u00f6ffnet. Der Trick besteht darin, die betreffende \"Zieldaten\" einfach in control.exe <\/em>umzubenennen.<\/p>\n

Ich habe dann mal einen eigenen Test gefahren und statt den Windows-Ordner Shell32<\/em> als Ziel zu verwenden, die Datei calc.exe<\/em> unter meinem Benutzerkonto im Profilordner Downloads\/Test <\/em>als Kopie unter dem Namen control.exe <\/em>abgelegt.<\/p>\n

Dann habe ich in einer PowerShell-Console den Befehl workfolders.exe<\/em> eingegeben. Der Windows-Rechner wurde ebenfalls aufgerufen (denn die Suche nach der .exe erfolgt \u00fcber den voreingestellten Pfad aus dem obigen Profilordner bis zu den Windows-Ordnern) – mit dem Programm notepad.exe <\/em>hat mein Kurztest nicht funktioniert.<\/p>\n

\"Calc<\/a><\/p>\n

Im Anschluss habe ich mit mit accessschk.exe <\/em>aus den Sysinternals-Tools die Berechtigungen des betreffenden Prozesses von calc.exe<\/em> angesehen. Wenn ich nicht ganz falsch interpretiere, erfordert eine Erh\u00f6hung der Rechte immer noch die Zustimmung \u00fcber die Benutzerkontensteuerung. Aber der Sachverhalt erm\u00f6glicht eventuell durch Verkettung weiterer Anwendungen den Start von Malware, ohne dass Sicherheitssoftware das ggf. nicht mitbekommen – weil sie workfolders.exe<\/em> vertrauen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a>
\nWindows 10\/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner<\/a>
\nWindows10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a>
\nWindows 10: Schwachstelle .SettingContent-ms<\/a>
\nWindows UAC \u00fcber SilentCleanup ausgehebelt<\/a>
\nErebus Ransomware und die ausgetrickste UAC<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich wei\u00df nicht, ob wie breit das bekannt ist, aber die legitime Windows-Anwendung WorkFolders.exe l\u00e4sst sich verwenden, um andere .exe-Programme im Windows-Ordner System32 oder im aktuellen Ordner zu starten. Dies erm\u00f6glicht Malware sogenannte LOLBin-Angriffe, bei der legitime Betriebssystemdateien zur Ausf\u00fchrung … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-287342","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287342"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287342\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}