Uma nova técnica de execução de comandos conhecida como 'GrimResource' utiliza MSC (Microsoft Saved Console) especialmente criado e uma falha XSS do Windows não corrigida para realizar a execução de código através do Microsoft Management Console.
Em julho de 2022, a Microsoft desativou macros por padrão no Office, levando atores de ameaças a experimentarem novos tipos de arquivos em ataques de phishing.
Os atacantes começaram a usar imagens ISO e arquivos ZIP protegidos por senha, já que esses tipos de arquivo não propagavam adequadamente as bandeiras Mark of the Web (MoTW) para os arquivos extraídos.
Depois que a Microsoft corrigiu esse problema nos arquivos ISO e o 7-Zip adicionou a opção de propagar as bandeiras MoTW, os atacantes foram forçados a migrar para novos anexos, como atalhos do Windows e arquivos do OneNote.
Agora, os atacantes migraram para um novo tipo de arquivo, os arquivos MSC (.msc) do Windows, que são usados no Microsoft Management Console (MMC) para gerenciar vários aspectos do sistema operacional ou criar visualizações personalizadas de ferramentas comumente acessadas.
O abuso de arquivos MSC para implantar malware foi anteriormente relatado pela empresa de cibersegurança sul-coreana Genian.
Motivada por esta pesquisa, a equipe da Elastic descobriu uma nova técnica de distribuição de arquivos MSC e abuso de uma antiga falha XSS do Windows não corrigida em apds.dll para implantar Cobalt Strike.
A Elastic encontrou uma amostra ('sccm-updater.msc') recentemente carregada no VirusTotal em 6 de junho de 2024, que explora o GrimResource, portanto, a técnica está sendo ativamente explorada.
Para piorar as coisas, nenhum motor de antivírus no VirusTotal a identificou como maliciosa.
Enquanto esta campanha está usando a técnica para implantar Cobalt Strike como acesso inicial às redes, ela também pode ser usada para executar outros comandos.
Os pesquisadores confirmaram que a falha XSS ainda não foi corrigida na última versão do Windows 11.
O ataque GrimResource começa com um arquivo MSC malicioso que tenta explorar uma antiga falha de cross-site scripting (XSS) baseada em DOM na biblioteca 'apds.dll', que permite a execução de JavaScript arbitrário por meio de uma URL criada especificamente para isso.
A vulnerabilidade foi reportada à Adobe e à Microsoft em outubro de 2018, e enquanto ambos investigaram, a Microsoft determinou que o caso não atendia aos critérios para correção imediata.
Até março de 2019, a falha XSS permanecia não corrigida, e não está claro se foi abordada posteriormente.
O arquivo MSC malicioso distribuído pelos atacantes contém uma referência ao recurso APDS vulnerável na seção StringTable, então, quando o alvo o abre, o MMC o processa e dispara a execução do JS no contexto do 'mmc.exe'.
A Elastic explica que a falha XSS pode ser combinada com a técnica 'DotNetToJScript' para executar código .NET arbitrário através do motor de JavaScript, contornando quaisquer medidas de segurança existentes.
A amostra examinada usa 'transformNode' obfuscation para evitar avisos do ActiveX, enquanto o código JS reconstrói um VBScript que utiliza DotNetToJScript para carregar um componente .NET chamado 'PASTALOADER'.
PASTALOADER recupera um payload do Cobalt Strike das variáveis ambientais definidas pelo VBScript, cria uma nova instância de 'dllhost.exe' e o injeta usando a técnica 'DirtyCLR' combinada com desengate de função e chamadas de sistema indiretas.
O pesquisador da Elastic, Samir Bousseaden, compartilhou uma demonstração do ataque GrimResource no X.
Em geral, recomenda-se que os administradores de sistemas estejam atentos ao seguinte:
-Operações de arquivo envolvendo apds.dll invocadas por mmc.exe.
-Execuções suspeitas via MCC, especialmente processos gerados por mmc.exe com argumentos de arquivos .msc.
-Alocações de memória RWX por mmc.exe que se originam de motores de script ou componentes .NET.
-Criação incomum de objetos COM .NET dentro de interpretadores de script não padrão, como JScript ou VBScript.
-Arquivos HTML temporários criados na pasta INetCache como resultado do redirecionamento XSS do APDS.
A Elastic Security também publicou uma lista completa de indicadores GrimResource no GitHub e forneceu regras YARA no relatório para ajudar os defensores a detectar arquivos MSC suspeitos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...