GrimResource

GrimResourceは、コマンド実行手法につけられた名前です。
マルウェアはあの手この手で侵害したい環境でコマンドを実行しようとしてきます。
そういった手口に、また新たに手法が追加されていることが分かりました。

  • MSCファイルを使う
    GrimResourceは、MSCファイルを使って行われます。
    MSCファイルはMicrosoft Common Console Documentのことであり、Microsoft Management Consoleに関連付けられたファイルです。
    マイクロソフトのいわゆる管理コンソールです。
    通常はこの拡張子のファイルで、デバイス管理、システム監視、ディスクのデフラグのような追加の管理管理を提供するプログラムを操作するための機構を提供したりします。
    この新しい手法は、このMSCファイルを悪用します。
  • XSSの悪用
    MSCファイルを使って、XSSを仕掛けます。
    XSSはクロスサイトスクリプティングです。
    脆弱性があるままの状態のapds.dllを使います。
    apds.dllはMicrosoftの提供するソフトウェアに含まれるDLLで、これまでに何度も脅威アクターに悪用されてきています。
    今回も、これが攻撃の道具に使用されています。
  • ステップ1:JavaScript実行
    MSCファイルのStringTableセクションに脆弱なAPDSリソースへの参照を含めた状態に作成したものを被害者に開かせます。
    そうすると、被害者の環境で管理コンソールプログラムが実行され、その実行権限でJavaScriptが実行されます。
  • ステップ2:.Netコンポーネントの読み込み
    次はJavaScriptを現地で組み立てます。
    ActiveXの警告を回避するために「transformNode」難読化を使用し、動作を開始したJavaScriptコードはDotNetToJScriptを使用して「PASTALOADER」という名前の.NETコンポーネントをロードするVBScriptを再構築します。
  • ステップ3: Cobalt Strikeペイロードの取得
    PASTALOADERは、VBScriptによって設定された環境変数からCobalt Strikeペイロードを取得します。
    そして、「dllhost.exe」の新しいインスタンスを生成し、関数のアンフックと間接的なシステムコールを組み合わせた「DirtyCLR」手法を使用してそれを挿入します。

攻撃者はこうしてCobalt Strikeペイロードを侵害環境に持ち込むことができてしまいました。
ここまで来てしまえば、あとは膨大な攻撃手法の中の好きなものを攻撃者は実行することができます。

オフィスのマクロを無効にしたら、isoを使うようになった。
isoとパスワード付きZipでMoTW(Mark of the Webです)が効くようになってしまったら、Windowsショートカットを使うようになった。
同じ頃に、OneNoteを使う攻撃者も出てきていました。
現在、この次々に悪用するファイルタイプを乗り換えている流れが、MSCファイルに来ているということかもしれません。

脅威には、さまざまなものがあります。
ある時点で有効な対策のないような新しい手法が出てくることもあるでしょう。
しかし、そういった新しい手法も、その攻撃手法の流れの中で既知の脆弱性が手当てされていないことが前提となっていることは少なくありません。
パッチケイデンスを適切に保つことと適切なパッチ適用範囲の維持は有効な対策となります。
健全な運用で安全な状態をキープしましょう。

GrimResource – Microsoft Management Console for initial access and evasion

https://www.elastic.co/security-labs/grimresource

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。