GrimResource 공격 탐지: 새로운 감염 기법이 Microsoft 관리 콘솔을 악용하여 전체 코드 실행을 획득하다

사이버 보안 연구원들은 특별히 제작된 MSC 파일과 Windows XSS 결함을 활용한 새로운 코드 실행 기법을 발견했습니다. 새로 발견된 감염 기법인 GrimResource는 공격자들이 Microsoft 관리 콘솔(MMC)에서 코드 실행을 수행할 수 있게 합니다. 방어자들은 2024년 6월 초에 VirusTotal에 업로드된 GrimResource를 사용하는 샘플을 발견했으며, 이는 새로운 감염 기법이 야생에서 적극적으로 악용되고 있음을 나타냅니다.

GrimResource 공격 탐지

날로 증가하는 공격 표면과 함께, 적들은 도달 범위를 넓히고 탐지를 피하며 새로운 희생자를 목표로 하여 감염 기법을 끊임없이 혁신하고 있습니다. اولیه 접근 및 회피를 위해 MMC를 악용하여 코드 실행으로 이어지는 GrimResource라고 명명된 새로운 야생 공격 기법의 발견은 정교한 공격 노력을 저지할 미래 지향적 방어 조치의 필요성을 강조합니다. SOC Prime 플랫폼 집단 사이버 방어를 위해 보안 팀에 GrimResource 공격 탐지를 위한 체계적 Sigma 규칙 세트를 제공하여, 조직의 크기나 사이버 보안 성숙도 수준 또는 환경 요구 사항에 상관없이 적보다 앞서 나갈 수 있도록 지원합니다.

클릭하세요 탐지 항목 탐색 버튼 아래에 있는 탐지 항목 탐색 버튼을 클릭하여 관련 SOC 내용을 얻고, 실행 가능한 CTI로 풍부하게 제공되며, 기술 스택에 따라 조직이 의존하는 산업 최고의 SIEM, EDR, 데이터 레이크 솔루션에서 사용할 수 있습니다.

탐지 항목 탐색

GrimResource 공격 분석

공격자들은 지속적으로 새로운 방법을 악용하여 방어를 우회하고 목표로 한 환경에 침입한 후 감염을 확산시킵니다. Microsoft가 인터넷에서 소싱된 문서의 Office 매크로 기본 비활성화 하면서, 대체 공격 벡터가 점점 인기 있습니다. 예를 들어, 공격자들은 Windows 바로 가기와 같은 새로운 첨부 파일을 악용하기 시작했으며 OneNote 파일을 사용하여 자격 증명을 훔치고 멀웨어를 배포합니다. 적들은 현재 Windows MSC 파일을 무기화하여, 운영 체제의 다양한 측면을 관리하거나 자주 액세스하는 도구 보기 화면을 맞춤화하는 데 사용하는 Microsoft 관리 콘솔에서 이를 활용하고 있습니다.

Elastic 연구원들은 MSC 파일을 무기화하여 새로운 감염 기법인 GrimResource를 최근에 확인했습니다. 사용자가 특별히 제작된 MSC 파일을 열면, 공격자들은 mmc.exe 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다.

공격 흐름은 악의적인 MSC 파일로 시작하여, “apds.dll” 라이브러리에서 오래된 DOM 기반 XSS 결함을 악용하여, 제작된 URL을 통해 임의의 JavaScript 실행을 가능하게 합니다. 이 보안 결함은 2018년 10월 Adobe와 Microsoft에 보고되었지만, 문제는 여전히 패치되지 않았습니다. XSS 취약성을 악용하면, JavaScript 엔진을 통해 임의의 .NET 코드를 실행하기 위해 “DotNetToJScript” 기법과 결합할 수 있으며, 기존 보안 조치를 효과적으로 우회합니다.

발견된 샘플은 ActiveX 경고를 우회하기 위해 transformNode 난독화 기법을 사용하고, JavaScript 코드는 DotNetToJScript를 활용하여 PASTALOADER라는 .NET 컴포넌트를 로드하는 VBScript를 재구성합니다. 후자는 VBScript로 정의된 환경 변수를 통해 페이로드를 검색합니다. 그 후, PASTALOADER는 dllhost.exe의 새로운 프로세스를 시작하고 탐지 회피 기법을 사용하여 페이로드를 주입합니다. 검사된 샘플에서는 공격자들이 Cobalt Strike.

현재 GrimResource 공격 기법이 야생 공격에서 적극적으로 사용되고 있기 때문에, 조직들은 잠재적 감염을 신속히 식별하고 정교한 침입을 사전에 방지할 방법을 모색하고 있습니다. SOC Prime의 Attack Detective에 의존함으로써, 보안 팀은 새로운 위협이 확대되기 전에 신속하게 대응하고, 공격자의 TTP가 위협 프로파일과 관련하여 조직의 사이버 보안 태세에 대한 실시간 가시성을 확보하며 보안 투자 가치를 극대화할 수 있습니다.