Détection d’Attaque GrimResource : Une Nouvelle Technique d’Infection Exploite la Console de Gestion Microsoft pour Obtenir une Exécution de Code Complète
Table des matières :
Les chercheurs en cybersécurité ont découvert une nouvelle technique d’exécution de code qui utilise des fichiers MSC spécialement conçus et une faille XSS dans Windows. La technique d’infection nouvellement découverte, baptisée GrimResource, permet aux attaquants d’exécuter du code dans la console de gestion Microsoft (MMC). Les défenseurs ont découvert un échantillon utilisant GrimResource qui a été récemment téléchargé sur VirusTotal début juin 2024, indiquant que la nouvelle technique d’infection est activement exploitée dans la nature.
Détecter les attaques GrimResource
Avec une surface d’attaque en constante expansion, les adversaires innovent sans relâche les méthodes d’infection pour étendre leur portée, éviter la détection et cibler de nouvelles victimes. La découverte d’une nouvelle technique d’attaque inédite appelée GrimResource, qui exploite MMC pour l’accès initial et l’évasion, conduisant à l’exécution de code, souligne le besoin de mesures défensives futuristes pour contrecarrer les efforts offensifs sophistiqués. Plateforme SOC Prime pour la défense cybernétique collective, équipe les équipes de sécurité d’un ensemble de règles Sigma sélectionnées pour la détection des attaques GrimResource, les aidant à garder une longueur d’avance sur les adversaires, quelle que soit la taille de l’organisation, son niveau de maturité en cybersécurité ou ses besoins environnementaux.
Cliquez sur le bouton Explorer les détections ci-dessous pour obtenir la liste du contenu SOC pertinent enrichi d’un renseignement sur les menaces (CTI) exploitable, lié à MITRE ATT&CK®, et disponible pour une utilisation dans les solutions SIEM, EDR et Data Lake parmi les leaders du secteur, selon la pile technologique de votre organisation.
Analyse de l’attaque GrimResource
Les attaquants exploitent continuellement de nouvelles méthodes pour contourner les défenses et propager l’infection après avoir accédé aux environnements ciblés. Suite au désactivation par défaut des macros Office pour les documents provenant d’Internet, les vecteurs d’attaque alternatifs sont de plus en plus populaires. Par exemple, les attaquants ont commencé à abuser de nouvelles pièces jointes, telles que les raccourcis Windows et les fichiers OneNote, pour voler des identifiants et distribuer des logiciels malveillants. Les adversaires envisagent actuellement d’arme les fichiers MSC Windows, qui sont utilisés dans la console de gestion Microsoft pour gérer différents aspects du système d’exploitation ou pour créer des vues personnalisées pour les outils fréquemment utilisés.
Les chercheurs d’Elastic ont récemment identifié une nouvelle technique d’infection baptisée GrimResource qui arme les fichiers MSC. Après qu’un utilisateur ouvre un fichier MSC spécialement conçu, les attaquants peuvent exécuter du code arbitraire dans le contexte de mmc.exe.
Le flux d’attaque commence avec un fichier MSC malveillant qui tente d’exploiter une ancienne faille XSS basée sur le DOM dans la bibliothèque “apds.dll”, permettant l’exécution arbitraire de JavaScript via une URL fabriquée. Ce bogue de sécurité a été signalé à Adobe et Microsoft en octobre 2018; cependant, le problème est resté non corrigé. Exploiter la vulnérabilité XSS peut être associé à la technique “DotNetToJScript” pour exécuter du code .NET arbitraire via le moteur JavaScript, contournant ainsi efficacement les mesures de sécurité existantes.
L’échantillon découvert utilise l’obfuscation transformNode pour contourner les avertissements ActiveX, et le code JavaScript reconstruit un VBScript qui utilise DotNetToJScript pour charger un composant .NET appelé PASTALOADER. Ce dernier récupère la charge utile à partir des variables d’environnement définies par le VBScript. Ensuite, PASTALOADER initie un nouveau processus de dllhost.exe et injecte la charge utile à l’intérieur en utilisant plusieurs méthodes d’évasion de détection. Dans l’échantillon examiné, les attaquants ont déployé Cobalt Strike.
La technique offensive GrimResource étant activement utilisée dans des attaques dans la nature, les organisations cherchent des moyens d’identifier rapidement les infections potentielles et de contrecarrer de manière proactive les intrusions sophistiquées. En s’appuyant sur SOC Prime’s Attack Detective, les équipes de sécurité peuvent rapidement répondre aux menaces émergentes avant qu’elles ne s’aggravent et obtenir une visibilité en temps réel de la posture de cybersécurité de l’organisation contre les TTP des attaquants pertinents pour votre profil de menace tout en maximisant la valeur des investissements en sécurité.
