Phát Hiện GrimResource: Kỹ Thuật Tấn Công Mới Qua Microsoft Management Console

Trước quyết định của Microsoft vô hiệu hóa các macro trong Office theo mặc định đối với các tài liệu từ internet, các kẻ tấn công buộc phải thích nghi, khám phá các vector lây nhiễm mới như JavaScript, tệp MSI, đối tượng LNK và tệp ISO. Các phương pháp truyền thống này hiện đang bị kiểm tra chặt chẽ bởi các chuyên gia bảo mật, đẩy các kẻ tấn công có nguồn lực mạnh phải tiếp tục đổi mới. Một ví dụ gần đây bao gồm các diễn viên Bắc Triều Tiên sử dụng một kỹ thuật thực thi lệnh mới trong các tệp MMC. Các nhà nghiên cứu của Elastic đã xác định GrimResource, một kỹ thuật lây nhiễm mới khai thác các tệp MSC, cho phép kẻ tấn công thực thi mã tùy ý trong ngữ cảnh của mmc.exe khi người dùng mở tệp MSC được tạo đặc biệt. Mẫu đầu tiên sử dụng GrimResource đã được tải lên VirusTotal vào ngày 6 tháng 6.

Điểm chính

• GrimResource cho phép kẻ tấn công thực thi mã tùy ý trong Microsoft Management Console với cảnh báo bảo mật tối thiểu, làm cho nó lý tưởng để truy cập ban đầu và tránh bị phát hiện.
• Elastic Security Labs cung cấp phân tích và hướng dẫn phát hiện để giúp cộng đồng phòng thủ chống lại kỹ thuật này.

Phân tích chi tiết

Phát hiện ban đầu

Phương pháp GrimResource được xác định sau khi một mẫu được tải lên VirusTotal vào ngày 6 tháng 6 năm 2024. Mẫu này thể hiện một cách mới để đạt được thực thi mã bằng cách khai thác định dạng tệp MSC, thường được sử dụng trong các công cụ quản trị trong Windows.

Phân tích kỹ thuật

Khai thác lỗ hổng apds.dll

Lõi của kỹ thuật GrimResource khai thác một lỗ hổng XSS cũ trong thư viện apds.dll. Bằng cách tạo tệp MSC có tham chiếu đến thư viện dễ bị tổn thương này trong phần StringTable, kẻ tấn công có thể thực thi JavaScript tùy ý trong ngữ cảnh của mmc.exe. Cách tiếp cận này sử dụng các bước sau:

1. Thao tác StringTable: Tệp MSC được sửa đổi để bao gồm tham chiếu đến apds.dll.
2. Thực thi JavaScript: Lỗ hổng XSS trong apds.dll cho phép thực thi JavaScript trong MMC, cho phép triển khai payload tiếp theo.

Kết hợp với DotNetToJScript

Để thực thi mã tùy ý, kẻ tấn công kết hợp khai thác XSS với kỹ thuật DotNetToJScript:

1. Kỹ thuật che giấu: Mẫu ban đầu sử dụng phương pháp transformNode để che giấu, một kỹ thuật cũng thấy trong các cuộc tấn công dựa trên macro gần đây. Điều này giúp tránh cảnh báo bảo mật ActiveX.
2. Nhúng VBScript: Script đã được che giấu trong tệp MSC đặt các biến môi trường với payload mục tiêu.
3. Thực thi DotNetToJScript: Script sau đó sử dụng DotNetToJScript để chạy một trình tải .NET nhúng, được gọi là PASTALOADER, truy xuất payload từ các biến môi trường và thực thi nó.

Thực thi PASTALOADER

PASTALOADER được thiết kế để thực thi payload một cách kín đáo:

1. Tiêm payload: PASTALOADER tiêm payload vào một phiên bản mới của dllhost.exe, một quy trình hệ thống hợp pháp, để tránh bị phát hiện.
2. Kỹ thuật tàng hình: Việc tiêm sử dụng DirtyCLR, gỡ móc hàm hàm và các cuộc gọi hệ thống gián tiếp để giảm thiểu khả năng bị phát hiện.

Payload cuối: Cobalt Strike

Trong mẫu được xác định, payload cuối cùng là Cobalt Strike Beacon, một công cụ hậu khai thác được sử dụng rộng rãi. Việc tiêm vào dllhost.exe được thực hiện cẩn thận để tránh kích hoạt các cơ chế bảo mật.

Phương pháp phát hiện

Kỹ thuật phát hiện của Elastic Security Labs

Elastic Security Labs đã phát triển một số phương pháp phát hiện để xác định hoạt động GrimResource:

1. Thực thi đáng ngờ qua Microsoft Common Console:
   • Phát hiện này tìm kiếm các quy trình không bình thường được khởi chạy bởi mmc.exe, cho thấy hoạt động có thể là độc hại.
2. Đối tượng .NET COM được tạo trong Trình thông dịch Script Windows không chuẩn:
   • Phát hiện các phân bổ bộ nhớ bởi .NET thay mặt cho các công cụ Windows Script Host (WSH), cho thấy việc sử dụng DotNetToJScript.
3. Thực thi script qua tệp MMC Console:
   • Giám sát các hoạt động tệp và hành vi quy trình liên quan đến thực thi tệp MSC, đặc biệt là tìm kiếm việc tạo và sử dụng các tham chiếu apds.dll.
4. Thực thi script qua tệp MMC Console:
   • Liên kết việc tạo các tệp HTML tạm thời trong thư mục INetCache, một dấu hiệu của việc chuyển hướng XSS APDS.

Quy tắc EQL mẫu

sequence by process.entity_id with maxspan=1m
[process where event.action == "start" and process.executable : "?:\\\\\\\\Windows\\\\\\\\System32\\\\\\\\mmc.exe" and process.args : "*.msc"]
[file where event.action == "open" and file.path : "?:\\\\\\\\Windows\\\\\\\\System32\\\\\\\\apds.dll"]

Phát hiện tệp HTML tạm thời:

sequence by process.entity_id with maxspan=1m
[process where event.action == "start" and process.executable : "?:\\\\\\\\Windows\\\\\\\\System32\\\\\\\\mmc.exe" and process.args : "*.msc"]
[file where event.action in ("creation", "overwrite") and process.executable : "?:\\\\\\\\Windows\\\\\\\\System32\\\\\\\\mmc.exe" and file.name : "redirect[?]" and file.path : "?:\\\\\\\\Users\\\\\\\\*\\\\\\\\AppData\\\\\\\\Local\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\INetCache\\\\\\\\IE\\\\\\\\*\\\\\\\\redirect[?]"]

Artifacts pháp y

Kỹ thuật này để lại một số artifacts pháp y, bao gồm:

• Thao tác tệp MSC: Tham chiếu bất thường trong các phần StringTable.
• Tệp tạm thời: Các tệp HTML trong thư mục INetCache có tên "redirect[?]".
• Bất thường quy trình: Quy trình không mong đợi và phân bổ bộ nhớ bởi mmc.exe và dllhost.exe.

Kẻ tấn công đã phát triển một kỹ thuật mới để thực thi mã tùy ý trong Microsoft Management Console bằng cách sử dụng các tệp MSC được tạo đặc biệt. Cách tiếp cận bảo mật đa lớp của Elastic đã chứng minh hiệu quả chống lại mối đe dọa mới này. Các chuyên gia bảo mật nên triển khai hướng dẫn phát hiện đã cung cấp để bảo vệ bản thân và khách hàng khỏi GrimResource trước khi nó lan rộng trong các nhóm mối đe dọa hàng hóa.