Tehdit aktörleri, tespitten kaçmalarına ve özel hazırlanmış yönetim tarafından kaydedilen konsol (MSC) dosyalarını kullanarak Microsoft Yönetim Konsolu’nun tam kodunun yürütülmesine olanak sağlayan yeni bir saldırı tekniği kullanıyor.
Elastic Security Labs araştırmacıları, yeni tekniği 6 Haziran’da VirusTotal’a bir örnek yüklendikten sonra ortaya çıkardılar ve bu örnek henüz sitedeki antivirüs araçları tarafından statik algılamaları tetiklemedi. Araştırmacılar yeni enfeksiyon tekniğine GrimResource adını veriyor.
GrimResource Saldırısı Eski XSS Kusurunu Kullanıyor
Araştırmacılar, GrimResource’un “özel hazırlanmış MSC dosyalarından yararlanan yeni, yaygın bir kod yürütme tekniği” olduğunu yazdı. “GrimResource, saldırganların minimum güvenlik uyarısıyla Microsoft Yönetim Konsolu’nda (mmc.exe) rastgele kod yürütmesine olanak tanıyor; bu, ilk erişim elde etmek ve savunmalardan kaçmak için ideal.”
Saldırı tekniğinin anahtarı apds.dll kütüphanesinde bulunan eski bir XSS kusurudur. “Hazırlanmış bir MSC dosyasının uygun StringTable bölümüne savunmasız APDS kaynağına bir referans ekleyerek, saldırganlar mmc.exe bağlamında rastgele javascript çalıştırabilirler” dediler. Saldırganlar, rastgele kod yürütme elde etmek için tekniği DotNetToJScript ile birleştirebilir.
Örnek, yakın zamanda açık kaynak araç geliştiricisi Philippe Lagadec tarafından ilgisiz makro örneklerde bildirilen bir TransformNode gizleme tekniğiyle başlıyor. Gizleme tekniği, ActiveX güvenlik uyarılarından kaçmaya yardımcı olur ve gömülü bir .NET yükleyiciyi yürütmek için DotNetToJs tekniğinden yararlanmadan önce hedef yükü bir dizi ortam değişkeninde ayarlayan, karartılmış bir yerleşik VBScript’e yol açar. Araştırmacılar bu bileşene PASTALOADER adını verdi.
PASTALOADER, yükü VBScript tarafından ayarlanan ortam değişkenlerinden alır ve “dllhost.exe’nin yeni bir örneğini oluşturur ve yükü ona enjekte eder. Bu, DirtyCLR tekniği, işlev kaldırma ve dolaylı sistem çağrıları kullanılarak kasıtlı olarak gizli bir şekilde yapılır. Bu örnekte son yük Cobalt Strike’tır.”
DotNetToJScript tekniğinin kullanılması, Windows Komut Dosyası Ana Bilgisayarı (WSH) komut dosyası motoru adına .NET’ten RWX bellek ayırmayı arayan başka bir algılamayı tetikler. Araştırmacılar, .NET yükleyici aracılığıyla yürütmeyi tespit etmek için Elastic’in Olay Sorgulama Dili’nde (EQL) bir kural oluşturdular.
GrimResource Tespit Kuralları Sağlandı
Araştırmacılar, bu tespitlerin daha gizli yöntemlerle atlanabileceğini belirtti: Mmc.exe Procmon çıktısında CreateFile işlemi olarak tespit edilebilir yapılar oluşturabilen XSS aracılığıyla Jscript’i çalıştırmak için apds.dll’yi kullanmak (apds.dll bir kitaplık olarak yüklenmez) ve INetCache klasöründe yönlendirme adı verilen geçici bir HTML dosyasının oluşturulması[*] APDS XSS yönlendirmesinin bir sonucu olarak.
Araştırmacılar, EQL kurallarına ek olarak bir YARA tespit kuralı da sağladılar:
Araştırmacılar, “Savunucular, kendilerini ve müşterilerini, bu teknik emtia tehdit gruplarına dönüşmeden önce bu teknikten korumak için tespit rehberliğimizden yararlanmalıdır” diye uyardı.