GrimResource攻撃の検出：新しい感染手法がMicrosoft管理コンソールを悪用して完全なコード実行を達成

サイバーセキュリティ研究者は、新たに特別に作成されたMSCファイルとWindowsのXSSの脆弱性を利用したコード実行技術を発見しました。この新たに発見された感染技法はGrimResourceと名付けられ、攻撃者がMicrosoft管理コンソール(MMC)でコードを実行できるようにします。防御側は2024年6月初旬にVirusTotalにアップロードされたGrimResourceを使用したサンプルを発見し、新たな感染技法が現場で積極的に悪用されていることを示しています。

GrimResource攻撃の検出

攻撃面が拡大し続ける中、敵対者はその範囲を拡大し、検出を避け、新しい被害者を狙うために感染方法を絶えず革新しています。MMCを初期アクセスと回避に利用し、コード実行に至る新たな現場攻撃技法GrimResourceの発見は、洗練された攻撃的な試みを阻止するための将来性のある防御策の必要性を強調しています。 SOC Primeプラットフォーム による集合サイバー防御は、GrimResource攻撃検出のための厳選されたSigmaルールセットでセキュリティチームを装備し、組織の規模やサイバーセキュリティ成熟度、環境ニーズに関わらず、敵対者に先行できるように支援します。

をクリックします 探索検出ボタン 以下から取得可能なMITRE ATT&CK®とリンク付けされ、行動可能なCTIで強化された関連SOCコンテンツのリストを取得し、組織の技術スタックに応じて業界をリードするSIEM、EDR、およびData Lakeソリューションで使用可能です。

探索検出

GrimResource攻撃分析

攻撃者は、新しい方法を絶えず悪用して守備側を回避し、標的環境へのアクセス後に感染を拡大します。Microsoftの インターネットから取得したドキュメント用のOfficeマクロのデフォルト無効化 の影響により、代替攻撃ベクトルがますます普及してきました。例えば、攻撃者はWindowsショートカットや OneNoteファイルなどの新しい添付ファイルを悪用して資格情報を盗み、マルウェアを配布しています。攻撃者は現在、Microsoft管理コンソールでオペレーティングシステムのさまざまな側面を管理したり、よく使用するツールのカスタマイズされたビューを作成したりするために利用されるWindows MSCファイルを武器化することに注力しています。

Elasticの研究者 は最近、MSCファイルを武器化する新たな感染技術GrimResourceを特定しました。ユーザーが特別に作成されたMSCファイルを開くと、攻撃者はmmc.exeのコンテキスト内で任意のコードを実行できます。

攻撃の流れは、有害なMSCファイルが「apds.dll」ライブラリの古いDOMベースのXSSの脆弱性を悪用し、特別に作成されたURLを介して任意のJavaScript実行を有効にするところから始まります。このセキュリティのバグは2018年10月にAdobeとMicrosoftに報告されましたが、問題は未修正のままでした。XSSの脆弱性を悪用すると、JavaScriptエンジンを介して任意の.NETコードを実行するDotNetToJScript技法と組み合わせることができ、既存のセキュリティ対策を効果的に回避します。

検出されたサンプルは、ActiveX警告を回避するためにtransformNode難読化を活用し、JavaScriptコードがDotNetToJScriptを利用して.NETコンポーネントPASTALOADERをロードするVBScriptを再構築します。後者はVBScriptで定義される環境変数からペイロードを取得します。その後、PASTALOADERはdllhost.exeの新しいプロセスを開始し、ペイロードをさまざまな検出回避方法を利用して注入します。検査されたサンプルでは、攻撃者は Cobalt Strike.

GrimResource攻撃技法が現場の攻撃で積極的に使用されている今日、組織は感染の可能性を迅速に特定し、洗練された侵入をプロアクティブに阻止する方法を模索しています。 SOC PrimeのAttack Detectiveを頼ることで、セキュリティチームは脅威がエスカレーションする前に新たな脅威に迅速に対処し、組織の攻撃者のTTPに関連するサイバーセキュリティの状況をリアルタイムで可視化し、セキュリティ投資の価値を最大化することができます。