Атака GrimResource начинается с вредоносного MSC-файла, который пытается использовать старую уязвимость DOM-based cross-site scripting (XSS) в библиотеке ‘apds.dll’, что позволяет выполнять произвольный JavaScript через специально созданный URL.
Уязвимость была сообщена Adobe и Microsoft в октябре 2018 года, и хотя обе компании провели расследование, Microsoft определила, что случай не соответствует критериям для немедленного исправления. По состоянию на март 2019 года уязвимость XSS оставалась неустраненной, и неясно, была ли она когда-либо решена. BleepingComputer связался с Microsoft, чтобы подтвердить, устранили ли они уязвимость, но комментарий не был немедленно доступен.
Механизм атаки GrimResource
Вредоносный MSC-файл, распространяемый злоумышленниками, содержит ссылку на уязвимый ресурс APDS в разделе StringTable, поэтому, когда цель открывает его, MMC обрабатывает его и запускает выполнение JS в контексте ‘mmc.exe.’
Elastic объясняет, что уязвимость XSS может быть объединена с техникой ‘DotNetToJScript’ для выполнения произвольного .NET кода через JavaScript-движок, обходя любые меры безопасности.
Исследованный образец использует обфускацию ‘transformNode’ для обхода предупреждений ActiveX, в то время как JS-код восстанавливает VBScript, который использует DotNetToJScript для загрузки .NET компонента под названием ‘PASTALOADER.’
PASTALOADER извлекает полезную нагрузку Cobalt Strike из переменных окружения, установленных VBScript, создает новый экземпляр ‘dllhost.exe’ и внедряет его с использованием техники ‘DirtyCLR’, комбинированной с функцией unhooking и косвенными системными вызовами.
Противодействие GrimResource
В общем, системным администраторам рекомендуется следить за следующими признаками:
- Операции с файлами, включающими apds.dll, вызываемые mmc.exe.
- Подозрительные выполнения через MCC, особенно процессы, порожденные mmc.exe с аргументами .msc файлов.
- RWX выделения памяти mmc.exe, исходящие от скриптовых движков или .NET компонентов.
- Необычное создание .NET COM объектов в нестандартных интерпретаторах скриптов, таких как JScript или VBScript.
- Временные HTML файлы, создаваемые в папке INetCache в результате APDS XSS перенаправления.
Elastic Security также опубликовала полный список индикаторов GrimResource на GitHub и предоставила правила YARA в отчете для помощи защитникам в обнаружении подозрительных MSC файлов.