Detección de Ataques GrimResource: Una Nueva Técnica de Infección Abusa de Microsoft Management Console para Obtener Ejecución Completa de Código
Tabla de contenidos:
Investigadores de ciberseguridad descubrieron una técnica de ejecución de código nueva que emplea archivos MSC especialmente elaborados y una vulnerabilidad de XSS en Windows. La técnica de infección recién descubierta, denominada GrimResource, permite a los atacantes ejecutar código en la Consola de Administración de Microsoft (MMC). Los defensores descubrieron una muestra usando GrimResource que se cargó recientemente en VirusTotal a principios de junio de 2024, indicando que la nueva técnica de infección está siendo explotada activamente en el entorno.
Detectar ataques GrimResource
Con una superficie de ataque en constante crecimiento, los adversarios están innovando implacablemente métodos de infección para ampliar su alcance, evitar la detección y atacar nuevas víctimas. El descubrimiento de una nueva técnica de ataque en el entorno denominada GrimResource que explota el MMC para el acceso inicial y la evasión, llevando a la ejecución de código, subraya la necesidad de medidas defensivas a prueba de futuro para frustrar esfuerzos ofensivos sofisticados. Plataforma SOC Prime para la defensa cibernética colectiva equipa a los equipos de seguridad con un conjunto de reglas Sigma curadas para la detección de ataques GrimResource, ayudándolos a adelantarse a los adversarios sin importar el tamaño de la organización, el nivel de madurez en ciberseguridad o las necesidades del entorno.
Haz clic en el botón Explorar Detecciones a continuación para obtener la lista de contenido SOC relevante enriquecido con CTI accionable, vinculado a MITRE ATT&CK®, y disponible para su uso en soluciones SIEM, EDR y Data Lake líderes en la industria, dependiendo del stack tecnológico en el que confíe tu organización.
Análisis del ataque GrimResource
Los atacantes explotan continuamente métodos novedosos para eludir las defensas y propagar la infección después de ganar acceso a los entornos objetivo. Tras la desactivación predeterminada de macros de Office para documentos obtenidos de internet, los vectores de ataque alternativos se han vuelto cada vez más populares. Por ejemplo, los atacantes empezaron a abusar de nuevos adjuntos, como accesos directos de Windows y archivos OneNote, para robar credenciales y distribuir malware. Los adversarios actualmente están enfocando su atención en la transformación de los archivos MSC de Windows en armas, los cuales se utilizan en la Consola de Administración de Microsoft para gestionar diferentes aspectos del sistema operativo o crear vistas personalizadas para herramientas de acceso frecuente.
Investigadores de Elastic han identificado recientemente una nueva técnica de infección denominada GrimResource que convierte los archivos MSC en armas. Después de que un usuario abra un archivo MSC especialmente elaborado, los atacantes pueden ejecutar código arbitrario en el contexto de mmc.exe.
El flujo del ataque comienza con un archivo MSC dañino que intenta explotar un fallo de XSS basado en DOM antiguo en la biblioteca “apds.dll”, permitiendo la ejecución arbitraria de JavaScript a través de una URL elaborada. Este error de seguridad fue reportado a Adobe y Microsoft en octubre de 2018; sin embargo, el problema permaneció sin parchear. La explotación de la vulnerabilidad de XSS puede combinarse con la técnica “DotNetToJScript” para ejecutar código .NET arbitrario a través del motor de JavaScript, eludiendo efectivamente medidas de seguridad existentes.
La muestra descubierta aprovecha la ofuscación transformNode para eludir las advertencias de ActiveX, y el código JavaScript reconstruye un VBScript que utiliza DotNetToJScript para cargar un componente .NET denominado PASTALOADER. Este último recupera la carga útil de las variables de entorno definidas por el VBScript. Posteriormente, PASTALOADER inicia un nuevo proceso de dllhost.exe e inyecta la carga útil en él usando múltiples métodos de evasión de detección. En la muestra examinada, los atacantes desplegaron Cobalt Strike.
Dado que la técnica ofensiva GrimResource se usa activamente en ataques en el entorno, las organizaciones están buscando formas de identificar a tiempo potenciales infecciones y frustrar intrusiones sofisticadas de manera proactiva. Confiando en el Detective de Ataques de SOC Prime, los equipos de seguridad pueden abordar rápidamente amenazas emergentes antes de que escalen y obtener visibilidad en tiempo real de la postura de ciberseguridad de la organización contra los TTPs de los atacantes relevantes para su perfil de amenaza mientras maximizan el valor de las inversiones en seguridad.
