新的攻击技术利用 Microsoft 管理控制台文件

威胁行为者正在利用一种新颖的攻击技术，该技术利用特制的管理保存控制台 (MSC) 文件来使用 Microsoft 管理控制台 ( MMC ) 获得完整的代码执行并逃避安全防御。

Elastic 安全实验室在识别出2024 年 6 月 6 日上传到 VirusTotal 恶意软件扫描平台的工件（“ sccm-updater.msc ”）后，将该方法命名为GrimResource 。

该公司在与 The Hacker News 分享的声明中表示：“当导入恶意制作的控制台文件时，MMC 库之一中的漏洞可能导致运行对手代码，包括恶意软件。”

“攻击者可以将此技术与DotNetToJScript结合起来以获得任意代码执行，从而导致未经授权的访问、系统接管等。”

使用不常见的文件类型作为恶意软件传播媒介被视为攻击者绕过微软近年来建立的安全 护栏的另一种尝试，包括默认禁用从互联网下载的 Office 文件中的宏。

上个月，韩国网络安全公司 Genians详细介绍了与朝鲜有关的 Kimsuky 黑客组织使用恶意 MSC 文件传播恶意软件的情况。

另一方面，GrimResource 利用 apds.dll 库中存在的跨站点脚本 (XSS) 漏洞在 MMC 上下文中执行任意 JavaScript 代码。该 XSS 漏洞最初于 2018 年底报告给 Microsoft 和 Adob​​e，但至今仍未得到修补。

这是通过在恶意 MSC 文件的 StringTable 部分中添加对易受攻击的 APDS 资源的引用来实现的，当使用 MMC 打开时，会触发 JavaScript 代码的执行。

该技术不仅可以绕过 ActiveX 警告，还可以与 DotNetToJScript 结合使用以实现任意代码执行。所分析的样本使用此方法启动了一个名为 PASTALOADER 的 .NET 加载器组件，最终为 Cobalt Strike 铺平了道路。

安全研究人员 Joe Desimone 和 Samir Bousseaden 表示： “在微软默认禁用来自互联网的文档的 Office 宏后，其他感染媒介（如 JavaScript、MSI 文件、LNK 对象和 ISO）的流行度激增。”

“然而，这些其他技术受到防御者的严格审查，被发现的可能性很高。攻击者已经开发出一种新技术，可以使用精心设计的 MSC 文件在 Microsoft 管理控制台中执行任意代码。”