GrimResource: Νέα επίθεση χρησιμοποιεί αρχεία MSC και ευπάθεια XSS των Windows

Μια νέα τεχνική εκτέλεσης εντολών, που ονομάζεται “GrimResource“, χρησιμοποιεί ειδικά αρχεία MSC και μια ευπάθεια XSS των Windows για την εκτέλεση κώδικα μέσω του Microsoft Management Console.

Το καλοκαίρι του 2022, η Microsoft απενεργοποίησε τις μακροεντολές από προεπιλογή στο Office. Ως αποτέλεσμα, οι επιτιθέμενοι άρχισαν να πειραματίζονται με νέους τύπους αρχείων σε επιθέσεις phishing. Αρχικά, άρχισαν να χρησιμοποιούν εικόνες ISO και αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης, καθώς αυτοί οι τύποι αρχείων δεν εμφάνιζαν σωστά τα Mark of the Web (MoTW) flags στα εξαγόμενα αρχεία.

Αφού η Microsoft διόρθωσε αυτό το πρόβλημα, οι εισβολείς άρχισαν να χρησιμοποιούν νέα συνημμένα, όπως Windows Shortcuts και αρχεία OneNote.

Δείτε επίσης: Ελάττωμα του SolarWinds Serv-U χρησιμοποιείται ενεργά σε επιθέσεις

Τώρα, οι hackers χρησιμοποιούν αρχεία Windows MSC (.msc), τα οποία χρησιμοποιούνται στο Microsoft Management Console (MMC) για τη διαχείριση διαφόρων πτυχών του λειτουργικού συστήματος.

Η κατάχρηση αρχείων MSC για την ανάπτυξη κακόβουλου λογισμικού είχε αναφερθεί και παλαιότερα από τη εταιρεία κυβερνοασφάλειας Genian. Με κίνητρο αυτή την έρευνα, η ομάδα αναλυτών της Elastic ανακάλυψε μια νέα τεχνική διανομής αρχείων MSC, ενώ παράλληλα εντόπισε και την κατάχρηση ενός παλιού αλλά μη επιδιορθωμένου σφάλματος XSS των Windows. Εντοπίζεται στο apds.dll και χρησιμοποιείται για την ανάπτυξη του Cobalt Strike.

Η Elastic βρήκε ένα δείγμα (‘sccm-updater.msc’) που ανέβηκε πρόσφατα στο VirusTotal, το οποίο αξιοποιεί την τεχνική GrimResource. Αυτό σημαίνει ότι πραγματοποιούνται ήδη επιθέσεις με αυτή την τεχνική εκτέλεσης εντολών. Ωστόσο, το χειρότερο είναι ότι κανένας μηχανισμός προστασίας από ιούς στο VirusTotal δεν την επισήμανε ως κακόβουλη.

Σύμφωνα με τους αναλυτές, φαίνεται ότι αυτή η καμπάνια χρησιμοποιεί την τεχνική για την ανάπτυξη του Cobalt Strike, με στόχο την αρχική πρόσβαση σε δίκτυα. Ωστόσο, θα μπορούσε σίγουρα να χρησιμοποιηθεί και για την εκτέλεση άλλων εντολών.

Επιπλέον, η ευπάθεια XSS δεν έχει επιδιορθωθεί ούτε στην τελευταία έκδοση των Windows 11.

Πώς λειτουργεί η τεχνική GrimResource

Η επίθεση GrimResource ξεκινά με ένα κακόβουλο αρχείο MSC που επιχειρεί να εκμεταλλευτεί την ευπάθεια cross-site scripting (XSS) στη βιβλιοθήκη ‘apds.dll’. Αυτή επιτρέπει την εκτέλεση JavaScript μέσω μιας επεξεργασμένης διεύθυνσης URL.

Δείτε επίσης: Ευπάθεια του Phoenix UEFI επηρεάζει εκατοντάδες μοντέλα υπολογιστών Intel

Η ευπάθεια αναφέρθηκε στην Adobe και τη Microsoft τον Οκτώβριο του 2018, ωστόσο η Microsoft έκρινε ότι δεν χρειαζόταν άμεση επιδιόρθωση. Από τον Μάρτιο του 2019, το σφάλμα XSS παρέμεινε χωρίς επιδιόρθωση και δεν είναι σαφές εάν αντιμετωπίστηκε ποτέ.

Το κακόβουλο αρχείο MSC που διανέμεται από εισβολείς περιέχει μια αναφορά στον ευάλωτο πόρο APDS στην ενότητα StringTable. Όταν ο στόχος το ανοίγει, το MMC το επεξεργάζεται και ενεργοποιεί την εκτέλεση JS στο πλαίσιο του ‘mmc.exe.’

Η Elastic εξηγεί ότι η ευπάθεια XSS μπορεί να συνδυαστεί με την τεχνική ‘DotNetToJScript‘ για την εκτέλεση κώδικα .NET μέσω του JavaScript engine, παρακάμπτοντας τυχόν μέτρα ασφαλείας που υπάρχουν.

Το εξεταζόμενο δείγμα χρησιμοποιεί obfuscation “transformNode” για να αποφύγει τις προειδοποιήσεις ActiveX, ενώ ο κώδικας JS ανακατασκευάζει ένα VBScript που χρησιμοποιεί DotNetToJScript για να φορτώσει ένα στοιχείο .NET με το όνομα “PASTALOADER“.

Το PASTALOADER ανακτά ένα Cobalt Strike payload από τα environment variables που ορίζονται από το VBScript, δημιουργεί μια νέα παρουσία του «dllhost.exe» και το εγκαθιστά χρησιμοποιώντας την τεχνική «DirtyCLR» μαζί με function unhooking και έμμεσα system calls.

Τεχνική GrimResource: Τι να προσέξετε

Οι διαχειριστές συστήματος καλούνται να προσέχουν τα εξής:

• Λειτουργίες αρχείων που αφορούν το apds.dll και εμπλέκουν το mmc.exe.
• RWX memory allocations από mmc.exe που προέρχονται από script engines ή .NET components
• Ύποπτες εκτελέσεις μέσω MCC, ειδικά διεργασίες που δημιουργούνται από το mmc.exe με .msc file arguments.
• Ασυνήθιστη δημιουργία αντικειμένου .NET COM σε non-standard script interpreters όπως JScript ή VBScript.
• Προσωρινά αρχεία HTML στο φάκελο INetCache, ως αποτέλεσμα της ανακατεύθυνσης APDS XSS.

Η Elastic Security έχει δώσει περισσότερα στοιχεία για την τεχνική GrimResource στο GitHub και παρείχε YARA rules για να βοηθήσει τους υπερασπιστές δικτύων να εντοπίσουν ύποπτα αρχεία MSC.

Extra μέτρα προστασίας

Για να προστατευτούν από τέτοιες απειλές, οι χρήστες πρέπει να διασφαλίζουν ότι το λειτουργικό τους σύστημα και όλες οι εφαρμογές είναι ενημερωμένες με τις τελευταίες ενημερώσεις ασφαλείας (αν και σε αυτή την περίπτωση, η ευπάθεια δεν έχει διορθωθεί).

Επιπλέον, είναι σημαντικό να αποφεύγεται το άνοιγμα αρχείων MSC από μη αξιόπιστες πηγές. Οι χρήστες πρέπει να είναι προσεκτικοί με τα συνημμένα αρχεία σε μηνύματα ηλεκτρονικού ταχυδρομείου και να αποφεύγουν τη λήψη αρχείων από αμφίβολες ιστοσελίδες.

Δείτε επίσης: Οι Κινέζοι hackers UNC3886 χρησιμοποιούν ευπάθειες Fortinet, Ivanti και VMware

Η χρήση ενός ισχυρού και ενημερωμένου λογισμικού προστασίας από ιούς μπορεί να βοηθήσει στην ανίχνευση και αποτροπή κακόβουλων αρχείων MSC. Τα σύγχρονα προγράμματα προστασίας από ιούς συχνά περιλαμβάνουν δυνατότητες ανίχνευσης για γνωστές εκμεταλλεύσεις και κακόβουλο λογισμικό.

Τέλος, η εκπαίδευση και η ευαισθητοποίηση των χρηστών σχετικά με τις τεχνικές κοινωνικής μηχανικής και τις απειλές στον κυβερνοχώρο μπορεί να βοηθήσει στην αποτροπή επιθέσεων. Οι χρήστες που είναι ενήμεροι για τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι είναι λιγότερο πιθανό να πέσουν θύματα αυτών των επιθέσεων.

πηγή: www.bleepingcomputer.com