威胁行为者正在使用一种新的攻击技术,该技术使他们能够逃避检测,并使用特制的管理保存控制台 (MSC) 文件获得 Microsoft 管理控制台的完整代码执行。
Elastic Security Labs 的研究人员在 6 月 6 日将样本上传到 VirusTotal 后发现了这种新技术,但该技术尚未触发网站上的防病毒工具的静态检测。研究人员将这种新的感染技术称为 GrimResource。
GrimResource 攻击利用旧的 XSS 缺陷
研究人员写道,GrimResource 是一种“利用特制 MSC 文件的新型野外代码执行技术” 。 “GrimResource 允许攻击者在 Microsoft 管理控制台 (mmc.exe) 中执行任意代码,同时只发出最少的安全警告,非常适合获取初始访问权限并逃避防御。”
攻击技术的关键是 apds.dll 库中存在的一个旧式 XSS 漏洞。他们表示:“通过在精心设计的 MSC 文件的相应 StringTable 部分中添加对易受攻击的 APDS 资源的引用,攻击者可以在 mmc.exe 上下文中执行任意 javascript。”攻击者可以将该技术与DotNetToJScript结合使用,以实现任意代码执行。
该样本以 TransformNode 混淆技术开始,开源工具开发人员 Philippe Lagadec 最近在无关的宏样本中报告了该技术。该混淆技术有助于规避 ActiveX 安全警告,并导致混淆的嵌入式 VBScript,该 VBScript 在利用 DotNetToJs 技术执行嵌入式 .NET 加载程序之前,在一系列环境变量中设置目标有效负载。研究人员将该组件命名为 PASTALOADER。
PASTALOADER 从 VBScript 设置的环境变量中检索有效载荷,并“生成 dllhost.exe 的新实例并将有效载荷注入其中。这是通过使用DirtyCLR技术、函数解除挂钩和间接系统调用以刻意隐秘的方式完成的。在此示例中,最终的有效载荷是 Cobalt Strike。”
使用 DotNetToJScript 技术会触发另一项检测,即代表 Windows Script Host (WSH) 脚本引擎从 .NET 寻找 RWX 内存分配。研究人员在 Elastic 的事件查询语言 (EQL) 中创建了一条规则,以检测通过 .NET 加载程序执行的情况。
提供 GrimResource 检测规则
研究人员指出,可以使用更隐秘的方法绕过这些检测:使用 apds.dll 通过 XSS 执行 Jscript,这可以在 mmc.exe Procmon 输出中创建可检测的工件作为 CreateFile 操作(apds.dll 未作为库加载),并且由于 APDS XSS 重定向,在 INetCache 文件夹中创建一个名为 redirect[*] 的临时 HTML 文件。
除了EQL规则外,研究人员还提供了YARA检测规则:
![]()
GrimResource YARA 检测规则(来源:Elastic Security Labs)
研究人员警告说:“防御者应该利用我们的检测指导来保护自己和客户免受这种技术的侵害,以免其扩散到商品威胁团伙。”
发表评论
您还未登录,请先登录。
登录