خانه » سوء استفاده حمله GrimResource از فایل‌های Management Console مایکروسافت

سوء استفاده حمله GrimResource از فایل‌های Management Console مایکروسافت

توسط Vulnerbyte
68 بازدید
تکنیک حمله GrimResource

محققان امنیت سایبری، یک تکنیک جدید اجرای کد را کشف کرده‌اند که از فایل‌های Management Console ذخیره شده (MSC[1]) مایکروسافت و نقص XSS  ویندوز سوء استفاده می‌کند. این تکنیک، حمله GrimResource نام دارد و اخیرا برای اجرای کامل کد توسط کنسول مدیریت مایکروسافت ([2]MMC) و دور زدن مکانیزم‌های امنیتی استفاده می‌شود.

هکرها پس از آن که مایکروسافت، ماکروهای آفیس را به‌ طور پیش‌فرض برای اسناد دانلود شده از اینترنت غیرفعال کرد، به سایر بردارهای نفوذ همچون جاوا اسکریپت، فایل‌های MSI، آبجکت‌های LNK و ISO روی آوردند.

با این حال، این تکنیک‌ها احتمال شناسایی بالایی دارند و مهاجمان خبره نیز به دنبال استفاده از بردارهای نفوذ جدید برای دور زدن سیستم‌های دفاعی و انتشار حمله خود هستند. از این رو، آنها تکنیک حمله GrimResource را مورد توجه قرار دادند.

 

نکات کلیدی حمله GrimResource

  • محققان Elastic اخیرا تکنیک نفوذ جدیدی را کشف کردند که از فایل‌های MSC استفاده می‌کند.
  • این تکنیک، GrimResource نام دارد.
  • GrimResource به مهاجمان اجازه می‌دهد تا پس از کلیک کاربر بر روی یک فایل MSC ساخته شده ویژه، امکان اجرای کامل کد در کنسول مدیریت مایکروسافت (exe) را به دست آورند.
  • نمونه‌ای از GrimResource برای اولین بار در ششم ژوئن در VirusTotal آپلود شده است.

 

تحلیل و بررسی تکنیک حمله GrimResource

تکنیک حمله GrimResource، از یک نقص قدیمی XSS در کتابخانه apds.dll برای اجرای کدهای جاوا اسکریپت دلخواه در MMC استفاده می‌کند. این آسیب پذیری XSS در اواخر سال 2018 به مایکروسافت و Adobe  گزارش شد اما تاکنون اصلاح نشده است.

مهاجمان می‌توانند با افزودن یک مرجع به منبع آسیب پذیر APDS در بخش StringTable، کد جاوا اسکریپت دلخواه را در mmc.exe اجرا کنند. هکرها همچنین می‌توانند این تکنیک را با DotNetToJScript ترکیب کنند تا به اجرای کد دلخواه دست یابند.

تکنیک حمله GrimResource
شکل ۱- ارجاع apds.dll در StringTable

نمونه تحلیل شده GrimResource، با استفاده از یک تکنیک مبهم سازی به نام transformNode آغاز گردید که به دور زدن هشدارهای امنیتی ActiveX کمک می‌کند (شکل ۲). این امر منجر به یک VBScript (اسکریپت ویژوال بیسیک) مبهم می‌شود.

تکنیک مبهم سازی transformNode
شکل ۲– تکنیک مبهم سازی و دور زدن transformNode

VBScript، پیلود هدف را در یک سری از متغیرهای محیطی تنظیم می‌کند و سپس از تکنیک DotNetToJs برای اجرای یک لودر دات نت (NET.) استفاده می‌نماید. محققان، نام این کامپوننت را PASTALOADER گذاشته‌اند و ممکن است در آینده تجزیه و تحلیل بیشتری در خصوص این ابزار خاص منتشر شود.

تنظیم متغیرهای محیطی پیلود هدف
شکل ۳- تنظیم متغیرهای محیطی پیلود هدف
تکنیک حمله GrimResource
شکل ۴- تکنیک بارگذاری DotNetToJs

PASTALOADER، در واقع پیلود را از متغیرهای محیطی تنظیم شده توسط VBScript در مرحله قبل بازیابی می‌کند. این کامپوننت (PASTALOADER) در نهایت، یک نمونه جدید از dllhost.exe را ایجاد و پیلود را به آن تزریق می‌کند. پیلود نهایی در این نمونه، Cobalt Strike می‌باشد.

تکنیک حمله GrimResource
شکل ۵- تزریق پیلود به dllhost.exe

Samir Bousseaden محقق Elastic، دمویی از حمله GrimResource را در شبکه اجتماعی X به اشتراک گذاشته است.

مایکروسافت هنوز به طور رسمی در مورد یافته‌ها اظهار نظر نکرده است اما اعلام کرده است که ویندوز، فایل‌های MSC را به‌عنوان « فایل‌های خطرناک بالقوه » شناسایی می‌کند و مایکروسافت دیفندر نیز دارای حفاظت‌هایی برای flag کردن این قبیل تهدیدات می‌باشد. Smart App Control، چنین فایل‌های مخربی را از اینترنت مسدود می‌کند.

از آنجایی که تکنیک تهاجمی GrimResource به طور فعال مورد استفاده قرار گرفته است، سازمان‌ها می‌بایست به دنبال راه‌هایی برای شناسایی به موقع این حمله بالقوه و خنثی سازی فعالانه نفوذهای پیچیده باشند. مثل همیشه به کاربران توصیه می‌شود که از دانلود یا باز کردن فایل هایی که از منابع و فرستنده‌های ناشناس ارسال می‌شوند، خودداری نمایند.

 

[1] management saved console

[2] Microsoft Management Console

 

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید