Microsoft, Internet’ten indirilen belgelerde Office makrolarını devre dışı bıraktığından, saldırı vektörlerindeki değişim JavaScript’i, MSI dosyalarını, LNK nesnelerini ve ISO’ları içeriyor.
Bazı gelişmiş saldırganlar artık fark edilmemek için başka açıklanmayan yöntemler kullanıyor.
Elastic güvenlik araştırmacılarından oluşan ekip, bir kullanıcı böyle değiştirilmiş bir dosyayla etkileşime girdiğinde mmc.exe içinde kod çalıştırmak için MSC dosyalarını kullanan, “GrimResource” adı verilen yeni bir tür enfeksiyon tespit etti.
Virus Total, bu tekniği ilk kez 6 Haziran’da keşfetti; bu, gelişmiş güvenlik özelliklerine yanıt veren kötü amaçlı yazılım dağıtım mekanizmalarındaki sürekli gelişimi yansıtıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Teknik Analiz
GrimResource tekniği, apds.dll kütüphanesindeki eski bir XSS güvenlik açığından yararlanarak, özel hazırlanmış MSC dosyalarının açılması üzerine mmc.exe içerisinde rastgele JavaScript yürütülmesine olanak tanıyor.
DotNetToJScript onunla birleştiğinde rastgele kod yürütülmesine yol açar. Başlangıçta VirusTotal tarafından bilinmeyen bu türden bir örnek, saldırıyı kurmak için transformNode gizlemeyi ve yerleşik VBScript’i içerir.
Daha sonra, yükü ortam değişkenlerinden alan ve DirtyCLR, işlev kaldırma ve dolaylı sistem çağrıları gibi gizli yöntemlerle yeni bir dllhost.exe örneğine enjekte eden PASTALOADER adlı özel bir yükleyici tanıtıldı.
.webp)
Kobalt Saldırısı, bu yeni saldırı vektörünün ne kadar karmaşık olduğunu gösteren son yük oldu.
GrimResource tekniği, Microsoft Common Console aracılığıyla şüpheli yürütme izleme, standart dışı Windows Komut Dosyası Yorumlayıcılarının .NET COM nesnesi oluşturma algılaması ve MMC Konsol Dosyası komut dosyası yürütme gözlemi gibi birçok yolla tespit edildi.
Ana teknikte apds.dll, dosya açma olayları aracılığıyla tespit edilebilen XSS aracılığıyla JavaScript’i çalıştırır. INetCache klasöründe oluşturulan geçici HTML dosyaları gibi ek adli yapılar da mevcuttur.
Mmc.exe’nin belirli DLL’leri yüklemesi gibi bazı davranışlar normal olsa da, bu göstergelerin birleştirilmesiyle kötü amaçlı etkinlik tespit edilebilir.
.webp)
Bu tespitler, ilk yürütmeden yük dağıtımına kadar saldırı zincirinin çeşitli bölümlerini kapsar ve bu gelişmiş tekniğin tanımlanmasına yönelik kapsamlı bir araç oluşturur.
Bu yeni saldırı biçimi, Microsoft Yönetim Konsolu’nda rastgele kod çalıştırmak için değiştirilmiş MSC dosyalarının kullanılmasını içerir.
Güvenlik uzmanları, savunmacılara, emtia piyasasını hedef alan çoğu tehdit aktörü tarafından benimsenmeden önce bu tekniğe karşı pratik tespit kılavuzu uygulamasını tavsiye ediyor.
Sonuç olarak bu durum, sürekli değişen siber tehditlere yanıt olarak proaktif güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
gözlemlenebilirler
.webp)
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free