Detecção de Ataques GrimResource: Uma Nova Técnica de Infecção Abusa do Console de Gerenciamento da Microsoft para Obter Execução Completa de Código

[post-views]
Junho 25, 2024 · 4 min de leitura
Detecção de Ataques GrimResource: Uma Nova Técnica de Infecção Abusa do Console de Gerenciamento da Microsoft para Obter Execução Completa de Código

Pesquisadores de cibersegurança descobriram uma nova técnica de execução de código que emprega arquivos MSC especialmente criados e uma falha XSS do Windows. A técnica de infecção recém-descoberta, apelidada de GrimResource, permite que os atacantes executem código no Microsoft Management Console (MMC). Defensores descobriram uma amostra usando GrimResource que foi recentemente carregada no VirusTotal no início de junho de 2024, indicando que a nova técnica de infecção está sendo explorada ativamente em campo.

Detectar Ataques GrimResource

Com a superfície de ataque em constante crescimento, os adversários estão constantemente inovando métodos de infecção para ampliar seu alcance, evitar detecção e atingir novas vítimas. A descoberta de uma nova técnica de ataque em campo denominada GrimResource, que explora o MMC para acesso inicial e evasão, levando à execução de código, destaca a necessidade de medidas defensivas à prova de futuro para impedir esforços ofensivos sofisticados. Plataforma SOC Prime para defesa cibernética coletiva equipa equipes de segurança com um conjunto de regras Sigma selecionadas para a detecção de ataques GrimResource, ajudando-as a se manterem à frente dos adversários, independentemente do tamanho da organização, nível de maturidade em cibersegurança ou necessidades de ambiente.

Clique no Botão Explorar Detecções abaixo para obter a lista de conteúdo relevante do SOC enriquecido com CTI acionável, vinculado ao MITRE ATT&CK®, e disponível para uso em soluções líderes de mercado, como SIEM, EDR e Data Lake, dependendo da tecnologia em que sua organização confia.

Explorar Detecções

Análise de Ataque GrimResource

Os atacantes continuamente exploram métodos novos para contornar defesas e espalhar a infecção após ganhar acesso aos ambientes alvo. Após a desativação padrão dos macros do Office pela Microsoft para documentos provenientes da internet, vetores de ataque alternativos tornaram-se cada vez mais populares. Por exemplo, atacantes começaram a abusar de novos anexos, como atalhos do Windows e arquivos OneNote, para roubar credenciais e distribuir malware. Os adversários estão atualmente focando na transformação de arquivos MSC do Windows em armas, que são utilizados no Microsoft Management Console para gerenciar diferentes aspectos do sistema operacional ou para criar visões personalizadas para ferramentas de acesso frequente.

Pesquisadores da Elastic identificaram recentemente uma nova técnica de infecção chamada GrimResource que transforma arquivos MSC em armas. Após um usuário abrir um arquivo MSC especialmente criado, atacantes podem executar código arbitrário dentro do contexto do mmc.exe.

O fluxo do ataque começa com um arquivo MSC malicioso que tenta explorar uma antiga falha XSS baseada em DOM na biblioteca “apds.dll”, permitindo a execução de JavaScript arbitrário através de uma URL preparada. Esse bug de segurança foi relatado à Adobe e à Microsoft em outubro de 2018; no entanto, o problema permaneceu sem correção. A exploração da vulnerabilidade de XSS pode ser combinada com a técnica “DotNetToJScript” para executar código .NET arbitrário através do motor JavaScript, efetivamente contornando as medidas de segurança existentes.

A amostra descoberta faz uso da ofuscação transformNode para contornar avisos do ActiveX, e o código JavaScript reconstrói um VBScript que utiliza DotNetToJScript para carregar um componente .NET chamado PASTALOADER. Este último recupera a carga útil a partir de variáveis de ambiente definidas pelo VBScript. Subsequentemente, o PASTALOADER inicia um novo processo de dllhost.exe e injeta a carga útil nele usando múltiplos métodos de evasão de detecção. Na amostra examinada, os atacantes implantaram Cobalt Strike.

Como a técnica ofensiva GrimResource é ativamente utilizada em ataques em campo, as organizações estão buscando formas de identificar pontualmente infecções potenciais e impedir proativamente intrusões sofisticadas. Ao se apoiar no Detective de Ataques da SOC Prime, equipes de segurança podem rapidamente lidar com ameaças emergentes antes que elas escalem e obter visibilidade em tempo real da postura de cibersegurança da organização contra as TTPs dos atacantes relevantes para seu perfil de ameaça, ao mesmo tempo em que maximizam o valor dos investimentos em segurança.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko