Sikkerhedsforskere har observeret en stigende udnyttelse af regsvr32.exe, som er en Windows-live-off-the-land binær, kort kendt som LOLBin. Nogle af de analyserede malware-prøver tilhører Qbot og Lokibot, ifølge Uptycs-forskere.
Trusselskuespillere misbruger Regsvr32
Hvad er regsvr32? Det er et Microsoft-signeret kommandolinjeværktøj, der giver brugerne mulighed for at registrere og afregistrere DLL-filer. Når du registrerer en sådan fil, oplysninger tilføjes til registret (eller den centrale telefonbog), så filen kan bruges af operativsystemet. På denne måde, andre programmer kan bruge DLL'er med lethed.
Men nu ser det ud til, at ondsindede aktører har opdaget en måde at misbruge regsvr32 til at indlæse COM-scriptlets for at udføre DLL'er. "Denne metode foretager ikke ændringer i registreringsdatabasen, da COM-objektet faktisk ikke er registreret, men eksekveret,”Siger forskerne. Teknikken er også kendt som Squiblydoo-teknikken, gør det muligt for hackere at omgå hvidlistning af applikationer under udførelsesfasen af angrebsdræbningskæden.
Forskerholdet har observeret mere end 500 prøver ved hjælp af regsvr32.exe til at registrere .ocx-filer. Det er bemærkelsesværdigt, at "97 % af disse prøver tilhørte ondsindede Microsoft Office-dokumenter, såsom Excel-regnearksfiler med .xlsb- eller .xlsm-udvidelser."
Flere tekniske detaljer findes i den oprindelige rapport.