Nova prijetnja: GrimResource
Sa odlukom kompanije Microsoft da podrazumijevano onemogući makroe u Office dokumentima, zlonamjerni akteri su primorani da istraže alternativne tipove datoteka za isporuku svog korisnog tereta. Jedan takav trend u nastajanju uključuje korištenje zlonamjerno kreiranih datoteka Microsoft Management Console – MMC i stare, ali neispravljene ranjivosti, zajedno poznate kao GrimResource napadi.
GRIMRESOURCE
Odluka kompanije Microsoft u julu 2022. godine da podrazumijevano onemogući makroe u Office dokumentima zbog njihove široke upotrebe u phishing napadima primorala je zlonamjerne aktere da istraže nove tipove datoteka za isporuku zlonamjernog softvera. U početku su se okrenuli ISO datotekama i ZIP datotekama zaštićenim lozinkom kao alternativama. Ovi formati datoteka nisu pravilno propagirali Mark of the Web – MoTW oznake kada su raspakovani, što otežava bezbjednosnim rješenjima da ih efikasno otkriju. Međutim, Microsoft i 7-zip su to ispravili.
Kao rezultat toga, napadači su bili primorani da traže nove tipove priloga koji bi mogli da zaobiđu ovaj problem i zadrže svoju sposobnost da distribuiraju zlonamjerni softver. Na kraju su se odlučili na korištenje Windows prečica i OneNote datoteka. Međutim, kako su bezbjednosni timovi postali svjesni ovog trenda, napadači su ponovo morali da se prilagode.
Sada su sigurnosni istraživači su identifikovali novu tehniku izvršavanja kôda koja koristi zlonamjerno kreirane datoteke Microsoft Management Console – MSC i staru, ali neispravljenu ranjivost da bi primijenili Cobalt Strike korisni teret. Microsoft Management Console – MMC je suštinska komponenta Windows operativnog sistema koja se koristi za upravljanje različitim njegovim aspektima ili kreiranje prilagođenih prikaza alata kojima se obično pristupa, tako da ovaj metod omogućava napadačima da dobiju potpuno izvršenje kôda na ciljanim sistemima.
Za otkriće GrimResource napada zaslužna je južnokorejska firma za sajber bezbjednost Genian, koja je izvijestila da napadači koriste MSC datoteke kao alternativu Office makroima za isporuku korisnih podataka nakon poteza kompanije Microsoft da ih onemogući. Sigurnosni istraživači kompanije Elastic su dalje istražili ovu prijetnju i identifikovali uzorak koji je postavljen na VirusTotal platformu 6. juna 2024. godine.
Funkcionisanje
GrimResource napad počinje sa posebno kreiranom MSC datotekom koja sadrži prečicu do izvršne datoteke. Ova datoteka iskorištava neispravljenu Windows XSS ranjivost u apds.dll datoteci, koja se nalazi u Microsoft Management Console – MMC okruženju. Ranjivost omogućava napadačima da ubace i izvrše zlonamjerni kôd u memorijski prostor konzole.
MSC datoteka koristi tehniku zvanu DotNetToJScriptt za kreiranje .NET COM objekta na nestandardne načine unutar WSH okruženja, koji se zatim koristi za izvršavanje svog korisnog tereta. Ovaj metod uključuje kreiranje instance klase Scripting.ActiveXObject koristeći JScript mehanizam i prosljeđivanje putanje do zlonamjerne izvršne datoteke kao argumenta. Primarni cilj zlonamjerne MSC datoteke nije odmah očigledan kada se otvori, jer se nikakva vidljiva radnja ne dešava nakon otvaranja. Umjesto toga, postavlja scenu za napad kreiranjem prečice i učitavanjem u memoriju. Tehnika DotNetToJScriptt igra ključnu ulogu u ovom procesu, jer omogućava napadačima da izvrše kôd koji bi inače bio blokiran, jer je njegovo poreklo označeno MoTW oznakama.
“Kada se uveze složeno napravljena datoteka konzole, ranjivost u jednoj od MMC biblioteka može dovesti do izvršenja zlonamjernog kôda, uključujući potencijalno zlonamjerni softver. Napadači mogu da upare ovu tehniku sa DotNetToJScriptt da bi dobili proizvoljno izvršenje kôda, otvarajući puteve za neovlašteni pristup, kompromitovanje sistema i još mnogo toga.”
Tehnika DotNetToJScriptt omogućava zlonamjernim akterima da zaobiđu detekcije koje traže dodjelu RWX memorije iz .NET u ime WSH skriptnih mehanizama kao što su JScript ili VBScript, čineći ovaj metod popularnim izborom među napadačima koji žele da izbjegnu otkrivanje. Jednom kada se zlonamjerni kôd izvrši u okviru MMC okruženja, može da obavlja različite radnje u zavisnosti od njegovog dizajna i namjene. To može uključivati instaliranje dodatnog zlonamjernog softvera, krađu akreditiva, eksfiltriranje podataka ili uspostavljanje postojanosti na kompromitovanom sistemu.
Uticaj
Ovaj napad omogućava zlonamjernim akterima da izvrše potpuno izvršavanje kôda u Microsoft Management Console – MMC nakon što korisnik klikne na posebno napravljenu MSC datoteku. Ovo mogu da koriste napadači za razne zlonamjerne aktivnosti, kao što su dobijanje početnog pristupa i izbjegavanje odbrane. Uticaj GrimResource na MMC je u tome što dozvoljava proizvoljno izvršavanje kôda uz minimalna bezbjednosna upozorenja.
GrimResource napad označava značajan pomak u okruženju prijetnji, jer predstavlja novi i sofisticirani pristup iskorištavanju ranjivosti i sticanju početnog pristupa ciljanim sistemima. Ovaj metod je posebno zabrinjavajući, jer administratori sistema obično koriste MSC datoteke za upravljanje različitim aspektima operativni sistem ili kreiranje prilagođenih prikaza za alate kojima se često pristupa, čineći ih opšte prisutnim u poslovnim okruženjima.
ZAKLJUČAK
GrimResource napad je nova tehnika izvršavanja kôda koja koristi posebno napravljene MSC datoteke i neispravljenu Windows XSS ranjivost za izvršavanje kôda u Microsoft Management Console – MMC i aktivno se koristi od početka juna 2024. godine. Napad je posebno opasan zbog svoje sposobnosti da zaobiđe tradicionalna bezbjednosna rješenja koja se oslanjaju na otkrivanje RWX alokacije memorije iz .NET u ime WSH skriptnih mehanizama. Štaviše, upotreba MSC datoteka kao alternative Office makroima čini ih značajnom prijetnjom u periodu nakon što je kompanija Microsoft podrazumijevano onemogućila makroe.
GrimResource tehnika označava značajan pomak u okruženju prijetnji, jer predstavlja novi i sofisticirani pristup iskorištavanju ranjivosti i sticanju početnog pristupa ciljanim sistemima. Ovaj metod je posebno zabrinjavajući, jer administratori sistema obično koriste MSC datoteke za upravljanje različitim aspektima operativnog sistema ili kreiranje prilagođenih pogleda za alate kojima se često pristupa, što ih čini sveprisutnim u poslovnim okruženjima.
Otkriće GrimResource tehnike naglašava važnost strategije odbrane u dubini i kontinuiranog praćenja za zaštitu od novih prijetnji. Organizacije moraju ostati budne i biti informisane o novim vektorima napada i tehnikama koje koriste protivnici kako bi osigurali da njihov bezbjednosni stav ostane efikasan.
ZAŠTITA
Savjetuje se administratorima sistema, korisnicima i sigurnosnim timovima da paze na:
- Operacije sa datotekama koje uključuju apds.dll koje poziva mmc.exe,
- Sumnjiva izvršenja preko MCC, posebno procesi koje je pokrenuo mmc.exe sa argumentima .msc datoteke,
- Alokacije memorije za čitanje-upisivanje-izvršavanje (RWX) od strane mmc.exe koje potiču iz mehanizama za skripte ili .NET komponenti,
- Neobično kreiranje .NET COM objekata u okviru nestandardnih tumača skripti kao što su JScript ili VBScript,
- Privremene HTML datoteke kreirane u direktorijumu INetCache kao rezultat APDS XSS preusmjeravanja.
Na kraju, za organizacije i korisnike je od suštinskog značaja da budu informisane o novonastalim prijetnjama kao što je GrimResource i da odmah primijene odgovarajuće protivmjere. Ako budu u toku sa najnovijim obavještajnim podacima o prijetnjama i najboljim praksama u oblasti sajber bezbednosti, organizacije i korisnici mogu efikasno da se zaštite od novih prijetnji koje se razvijaju.