威胁行为者正在使用一种新的攻击技术,该技术可以让他们逃避检测并使用 MSC 文件获取 Microsoft 管理控制台的完整代码执行。
威胁行为者正在使用一种新的攻击技术,该技术使他们能够逃避检测,并使用特制的管理保存控制台 (MSC) 文件获得 Microsoft 管理控制台的完整代码执行。
Elastic Security Labs 的研究人员在 6 月 6 日将样本上传到 VirusTotal 后发现了这种新技术,但该技术尚未触发网站上的防病毒工具的静态检测。研究人员将这种新的感染技术称为 GrimResource。
GrimResource 攻击利用旧的 XSS 缺陷
研究人员写道,GrimResource 是一种“利用特制 MSC 文件的新型野外代码执行技术” 。 “GrimResource 允许攻击者在 Microsoft 管理控制台 (mmc.exe) 中执行任意代码,同时只发出最少的安全警告,非常适合获取初始访问权限并逃避防御。”
攻击技术的关键是 apds.dll 库中存在的一个旧式 XSS 漏洞。他们表示:“通过在精心设计的 MSC 文件的相应 StringTable 部分中添加对易受攻击的 APDS 资源的引用,攻击者可以在 mmc.exe 上下文中执行任意 javascript。”攻击者可以将该技术与DotNetToJScript结合使用,以实现任意代码执行。
该样本以 TransformNode 混淆技术开始,开源工具开发人员 Philippe Lagadec 最近在无关的宏样本中报告了该技术。该混淆技术有助于规避 ActiveX 安全警告,并导致混淆的嵌入式 VBScript,该 VBScript 在利用 DotNetToJs 技术执行嵌入式 .NET 加载程序之前,在一系列环境变量中设置目标有效负载。研究人员将该组件命名为 PASTALOADER。
PASTALOADER 从 VBScript 设置的环境变量中检索有效载荷,并“生成 dllhost.exe 的新实例并将有效载荷注入其中。这是通过使用DirtyCLR技术、函数解除挂钩和间接系统调用以刻意隐秘的方式完成的。在此示例中,最终的有效载荷是 Cobalt Strike。”
使用 DotNetToJScript 技术会触发另一项检测,即代表 Windows Script Host (WSH) 脚本引擎从 .NET 寻找 RWX 内存分配。研究人员在 Elastic 的事件查询语言 (EQL) 中创建了一条规则,以检测通过 .NET 加载程序执行的情况。
提供 GrimResource 检测规则
研究人员指出,可以使用更隐秘的方法绕过这些检测:使用 apds.dll 通过 XSS 执行 Jscript,这可以在 mmc.exe Procmon 输出中创建可检测的工件作为 CreateFile 操作(apds.dll 未作为库加载),并且由于 APDS XSS 重定向,在 INetCache 文件夹中创建一个名为 redirect[*] 的临时 HTML 文件。
除了EQL规则外,研究人员还提供了YARA检测规则: