Erkennung des GrimResource-Angriffs: Eine neue Infektionstechnik nutzt die Microsoft Management Console zur vollständigen Codeausführung aus
Inhaltsverzeichnis:
Cybersicherheitsforscher entdeckten eine neue Codeausführungstechnik, die speziell gestaltete MSC-Dateien und einen Windows-XSS-Fehler ausnutzt. Die neu aufgedeckte Infektionstechnik, GrimResource genannt, ermöglicht es Angreifern, Codeausführung in der Microsoft Management Console (MMC) durchzuführen. Verteidiger entdeckten ein Beispiel, das GrimResource verwendet und das kürzlich im Juni 2024 bei VirusTotal hochgeladen wurde, was darauf hinweist, dass die neue Infektionstechnik aktiv in freier Wildbahn ausgenutzt wird.
GrimResource-Angriffe erkennen
Mit der ständig wachsenden Angriffsfläche innovieren Gegner unablässig Infektionsmethoden, um ihre Reichweite zu erweitern, Erkennung zu verhindern und neue Opfer zu erreichen. Die Entdeckung einer neuen Angriffstechnik in freier Wildbahn, genannt GrimResource, die MMC für den anfänglichen Zugang und die Tarnung ausnutzt und zu einer Codeausführung führt, unterstreicht die Notwendigkeit zukunftssicherer Verteidigungsmaßnahmen, um ausgeklügelte offensiven Bemühungen zu vereiteln. SOC Prime Plattform für kollektive Cyberabwehr statten Sicherheitsteams mit einem Satz kuratierter Sigma-Regeln zur Erkennung von GrimResource-Angriffen aus, die ihnen helfen, den Gegnern immer einen Schritt voraus zu sein, unabhängig von der Größe, dem Level der Cybersicherheitsreife oder den Umgebungsbedürfnissen der Organisation.
Klicken Sie auf den Button Erkennungen erkunden unten, um die Liste relevanter SOC-Inhalte zu erhalten, angereichert mit umsetzbarem CTI, verknüpft mit MITRE ATT&CK® und verfügbar zur Nutzung in branchenführenden SIEM-, EDR- und Data-Lake-Lösungen je nach technologischem Stack Ihrer Organisation.
GrimResource-Angriffsanalyse
Angreifer nutzen ständig neue Methoden, um Verteidigungen zu umgehen und die Infektion auszuweiten, nachdem sie Zugang zu den angegriffenen Umgebungen erhalten haben. Nach der standardmäßigen Deaktivierung von Office-Makros von Microsoft für Dokumente, die aus dem Internet stammen, sind alternative Angriffsvektoren zunehmend populär geworden. Beispielsweise begannen Angreifer, neue Anhänge wie Windows-Verknüpfungen und OneNote-Dateienzu missbrauchen, um Anmeldedaten zu stehlen und Malware zu verbreiten. Derzeit richten Gegner ihren Fokus darauf, Windows-MSC-Dateien zu nutzen, die in der Microsoft Management Console verwendet werden, um verschiedene Aspekte des Betriebssystems zu verwalten oder benutzerdefinierte Ansichten für häufig genutzte Tools zu erstellen.
Elastic-Forscher haben kürzlich eine neue Infektionstechnik namens GrimResource identifiziert, die MSC-Dateien bewaffnet. Nachdem ein Benutzer eine speziell gestaltete MSC-Datei öffnet, können Angreifer beliebigen Code im Kontext von mmc.exe ausführen.
Der Angriffsablauf beginnt mit einer schädlichen MSC-Datei, die versucht, eine alte DOM-basierte XSS-Schwachstelle in der Bibliothek „apds.dll“ auszunutzen, die eine beliebige JavaScript-Ausführung über eine gestaltete URL ermöglicht. Diese Sicherheitslücke wurde Adobe und Microsoft im Oktober 2018 gemeldet; jedoch blieb das Problem ungepatcht. Die Ausnutzung der XSS-Schwachstelle kann mit der „DotNetToJScript“-Technik kombiniert werden, um beliebigen .NET-Code über die JavaScript-Engine auszuführen und somit bestehende Sicherheitsvorkehrungen effektiv zu umgehen.
Das entdeckte Beispiel nutzt die transformNode-Obfuskation, um ActiveX-Warnungen zu umgehen, und der JavaScript-Code rekonstruiert ein VBScript, das DotNetToJScript verwendet, um eine .NET-Komponente namens PASTALOADER zu laden. Letztere ruft die Nutzlast aus Umgebungsvariablen ab, die durch das VBScript definiert werden. AnschlieĂźend initiiert PASTALOADER einen neuen Prozess dllhost.exe und injiziert die Nutzlast in diesen unter Verwendung mehrerer Erkennungstarnungsmethoden. In der untersuchten Probe setzten Angreifer Cobalt Strike.
Da die offensive GrimResource-Technik aktiv in Angriffen in freier Wildbahn verwendet wird, suchen Organisationen nach Möglichkeiten, potenzielle Infektionen rechtzeitig zu identifizieren und anspruchsvolle Eindringversuche proaktiv zu vereiteln. Durch den Einsatz von SOC Primes Angriffsdetektorkönnen Sicherheitsteams neu auftretende Bedrohungen schnell adressieren, bevor sie eskalieren, und erhalten gleichzeitig Echtzeit-Einblicke in die Cybersicherheitslage der Organisation in Bezug auf die für ihr Bedrohungsprofil relevanten TTPs der Angreifer, während der Wert der Sicherheitsinvestitionen maximiert wird.
