Nouvelle tactique de menace GRIMRESOURCE permettant une exécution complète de code

0
131

Les chercheurs d’Elastic Security Labs ont découvert une nouvelle technique d’exécution, appelée GRIMRESOURCE. Elle permet aux attaquants d’obtenir une exécution complète de code dans la Console de gestion Microsoft (mmc.exe) avec un minimum d’avertissements de sécurité après qu’un utilisateur ait cliqué sur un fichier MSC spécialement conçu.

Après que Microsoft a désactivé les macros de bureau par défaut pour les documents d’accès Internet, d’autres vecteurs d’infection comme JavaScript, les fichiers MSI, les objets LNK et les ISO ont gagné en popularité. Toutefois, ces autres techniques sont examinées de près par les défenseurs et ont une forte probabilité de détection. Les attaquants matures cherchent à exploiter de nouveaux vecteurs d’infection non divulgués pour y accéder tout en évitant les défenses.

Voici quelques détails notables sur cette technique d’infection :

  • Lorsqu’un fichier de console malveillant est importé, une vulnérabilité dans l’une des bibliothèques MMC peut conduire à l’exécution de code malveillant, y compris des malwares. Elastic Security Labs a déjà identifié une occurrence de cette nouvelle technique.
  • Les attaquants peuvent combiner cette technique avec DotNetToJScript pour obtenir une exécution de code arbitraire, ce qui peut entraîner un accès non autorisé, une prise de contrôle du système et plus encore.
  • Un échantillon exploitant GrimResource a été téléchargé pour la première fois sur VirusTotal le 6 juin.
  • GrimResource permet aux attaquants d’exécuter du code arbitraire dans Microsoft Management Console (mmc.exe) avec un minimum d’avertissements de sécurité, idéal pour obtenir l’accès initial et échappant aux défenses

La clé de la technique GrimResource est d’utiliser un vieux défaut XSS présent dans le apds.dllbibliothèque. En ajoutant une référence à la ressource APDS vulnérable dans la section de la table de chaîne appropriée d’un fichier MSC conçu, les attaquants peuvent exécuter du javascript arbitraire dans le contexte de mmc.exe. Les attaquants peuvent combiner cette technique avec DotNetToJScript pour obtenir l’exécution de code arbitraire. L’échantillon commence par une technique d’obfuscation de transformeNode, qui a été observée dans des macro-échantillons récents mais non apparentés. Cela aide à éluder les avertissements de sécurité ActiveX. Cela conduit à un VBScript dissimulé.

Le VBScript définit la charge utile cible dans une série de variables d’environnement, puis exploite la technique DotNetToJs pour exécuter un chargeur .NET intégré. Nous avons nommé ce composant PASTALOADER et pourrions publier une analyse supplémentaire sur cet outil spécifique à l’avenir. PASTALOADER extrait la charge utile des variables d’environnement définies par le VBScript à l’étape précédente.

Enfin, PASTALOADER prime une nouvelle instance de dllhost.exeet y injecte la charge utile. Cela se fait de manière délibérément furtive en utilisant la technique DirtyCLR, le décrochage de fonction et les syscalls indirects. Dans cet échantillon, la charge utile finale est Cobalt Strike.

Exécution suspecte via Microsoft Common Console

Cette détection a été établie avant notre découverte de cette nouvelle technique d’exécution. Il a été conçu à l’origine pour identifier une méthode différente (qui nécessite que l’utilisateur clique sur le tampon Task après l’ouverture du fichier MSC) qui exploite le même type de fichier MSC pour exécuter des commandes par l’intermédiaire de l’attribut de ligne de commande Console Taskpads. Il se déclenche ici parce que cet échantillon a choisi de frayer et d’injecter une instance sacrificielle de dllhost.exe.

L’analyse détaillée complète est disponible ici.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.