一项正在进行的活动正在使用两种基本上未被预见的隐蔽技术来感染东南亚的高层组织。 第一个是“GrimResource”,是一种新技术,允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。 第二个技巧“AppDomainManager 注入”使用恶意动态链接库 (DLL),但其方式比传统的旁加载更容易。它已经存在了七年,被来自伊朗、中国、更广泛的开源社区、渗透测试人员和其他人的威胁行为者使用。尽管如此,它在野外的恶意活动中很少见。 NTT 研究人员在一篇新的博客文章中表示,自 7 月以来,与中国 APT41 相似的攻击者一直在结合使用这些技术,将 Cobalt Strike 投放到属于台湾政府机构、菲律宾军队和越南能源组织的 IT 系统上。 GrimResource 的工作原理作为此活动的一部分,攻击从网络钓鱼电子邮件或恶意网站中包含的 ZIP 文件开始。 ZIP 包含带有 Windows 证书或 PDF 图标的文件。实际上,它是一个管理保存的控制台 (MSC) 文件,一种用于在 MMC 中保存配置和设置的文件类型。 MSC 最近在威胁行为者中越来越受欢迎。正如 Elastic 威胁和安全情报主管 Jake King 所解释的那样,它始于 Microsoft 发布了对默认控件的大量更改,这些更改可用于执行电子邮件中的有效负载。“我们开始看到使用 MSI、ISO 和 LNK 文件进行唾手可得的利用。但更先进的团队开始利用 MSC 作为初始载体,“他说。 “这是一种非常有趣、功能强大的文件格式,[而且] 与许多经常被滥用的更常见的文件格式相比,它受到的关注较少,”他补充道,并指出,“MMC 有许多你可以利用的持久性机制 — 一些旧的漏洞。 利用此类漏洞的一种技术是 GrimResource,它于 7 月由 Elastic 首次发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在 6 年的跨站点脚本 (XSS) 问题,在 MMC 中启用任意代码执行。在此活动中,攻击者使用它来消除感染过程中的一个步骤:而不是让受害者单击 MSC 文件中的恶意链接,只需打开 MSC 文件就会触发嵌入式 Javascript。 然后,恶意 Javascript 下载并运行一个合法的、签名的 Microsoft 可执行文件——“dfsvc.exe”——重命名为“oncesvc.exe”。但是,如果文件是完全诚实的,它怎么能用来下载恶意软件呢? 激活 AppDomainManager 注入使用 Microsoft 的 .NET Framework 构建的所有应用程序都运行一个或多个应用程序域,这些域由 “AppDomainManager” 类创建和管理。在 AppDomainManager 注入中,攻击者使用恶意代码创建一个 AppDomainManager 类,然后欺骗目标应用程序加载该类,而不是合法应用程序。这可以通过配置三个特定的环境变量(APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION)来完成,或者像本活动中的情况一样,上传一个自定义配置文件,该文件只是指示应用程序运行其恶意的 AppDomainManager。 “您实际上是在告诉公共语言运行时 (CLR)(Windows 操作系统的一部分,告诉操作系统如何加载和处理 .NET 应用程序)在您运行 .NET 进程时包含恶意 DLL,”Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说。“它有效地允许您将几乎任何 .NET 应用程序转换为离地存的二进制文件,”或 lolbin。 “目前,DLL 旁加载是执行恶意软件的最常用方法,”NTT 研究人员写道,“但 AppDomainManager 注入比 DLL 旁加载容易得多,并且人们担心未来可能会增加漏洞利用。 由于发现此类恶意注入非常困难,因此 King 推荐了一种防御方法,可以在此类攻击开始之前阻止它们。 “你在这里看到的最重要的事情是能够从一开始就阻止有效载荷的执行,”他说。例如,在这个最新的活动中,“这些是引入 ZIP 文件的鱼叉式网络钓鱼攻击。您可以在 MMC 级别实施一些基本的控制措施,但 [预防] 实际上只是归结为围绕电子邮件卫生的良好实践。
|