Saldırganlar, MSC dosyalarından yararlanan GrimResource adlı yeni bir enfeksiyon tekniğinden yararlanıyor.
Kötü amaçlı MSC dosyaları oluşturarak, bir kullanıcı tıklamasıyla mmc.exe (Microsoft Yönetim Konsolu) bağlamında tam kod yürütmeyi başarabilirler.
Makro ihtiyacını ortadan kaldırarak (varsayılan olarak devre dışıdır) ve düşük güvenlikli uyarılar sağlayarak saldırganlara çeşitli avantajlar sunar; bu da onu tespitten kaçarken ilk erişim elde etmek için ideal kılar.
İlk GrimResource örneği Haziran başında VirusTotal’a yüklendi ve bu durum potansiyel olarak ortaya çıkan bir tehdidin altını çizdi.
Yeni bir saldırı tekniği olan GrimResource, saldırganların StringTable’daki savunmasız APDS kaynağına referanslar içeren kötü amaçlı MMC dosyaları oluşturduğu Windows sistemlerinde ilk erişimi ve kod yürütmeyi sağlamak için apds.dll dosyasındaki yamalanmamış bir XSS güvenlik açığından yararlanıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Bu, mmc.xe bağlamında rastgele JavaScript yürütülmesini tetikler ve saldırganlar, DotNetToJScript işlevini kötüye kullanarak ayrıcalıkları isteğe bağlı kod yürütmeye daha da yükseltir.
Saldırı zinciri, ActiveX güvenlik uyarılarını atlatmak için bir transformNode gizleme tekniğini ve ardından ortam değişkenlerinde hedef yükü ayarlayan karartılmış bir VBScript’i kullanıyor.
PASTALOADER adlı özel bir.NET yükleyici, DirtyCLR, işlev kaldırma ve gizlilik için dolaylı sistem çağrılarının bir kombinasyonunu kullanarak son yükü (örneğin, Cobalt Strike) yeni oluşturulan bir dllhost.exe işlemine enjekte etmek için bu değişkenlerden yararlanır.
Microsoft Common Console (MSC) dosyaları aracılığıyla şüpheli yürütmeye yönelik mevcut bir algılama, Konsol Görev Takımları özniteliğini içeren farklı bir tekniği yakalamak üzere tasarlanmıştır.
Süreç oluşturmada belirli bir model arar: joker karakter argümanıyla bir MSC dosyasını başlatan ancak bilinen yasal MMC dosya konumları veya beyaz listedeki yürütülebilir dosyalar ile eşleşmeyen bir ana mmc.exe işlemi tarafından oluşturulan bir alt süreç.
Saldırgan, kötü amaçlı bir VBScript veya JScript komut dosyası adına yürütülebilir belleği (RWX) ayırmak için güvenilir bir işlem kullanan DotNetToJScript adlı standart dışı bir Windows Komut Dosyası Yorumlayıcısı (WSH) komut dosyası motoru aracılığıyla .NET COM nesnesinin işlevselliğinden yararlanabilir.
Algılama, .NET sürecini bağlayan belirli DLL’leri (mscoree.dll, combase.dll, jscript.dll, vbscript.dll, jscript9.dll ve chakra.dll) içeren çağrı yığınıyla birlikte bu anormal bellek ayırma modelinin tanımlanmasına dayanır. WSH komut dosyası motoruna.
Şüpheli dosya açma olaylarının (apds.dll) mmc.exe tarafından izlenmesi, MMC konsolu aracılığıyla komut dosyalarını çalıştırma girişimlerini açığa çıkarabilir.
Kullanıcıyı, kullanıcının INetCache’inde geçici bir HTML dosyası (redirect.html) oluşturan kötü amaçlı bir web sayfasına yönlendirmek için APDS’deki (Gelişmiş Protokol Algılama Hizmeti) bir güvenlik açığından yararlanarak kötü amaçlı komut dosyalarını yürütmek için MMC konsol dosyalarından (MSC dosyaları) yararlanabilirler. dosya.
Elastic güvenlik ekibi, bir MSC dosyasıyla başlayan MMC süreci gibi olayları bağlayıp bir yönlendirme.html dosyası oluşturarak bu saldırıyı tespit edebilir.
Kötü amaçlı MMC konsol dosyasının belirli özelliklerini bulmak için YARA kuralları kullanılabilir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free