GrimResourceは、コマンド実行手法につけられた名前です。
マルウェアはあの手この手で侵害したい環境でコマンドを実行しようとしてきます。
そういった手口に、また新たに手法が追加されていることが分かりました。
- MSCファイルを使う
GrimResourceは、MSCファイルを使って行われます。
MSCファイルはMicrosoft Common Console Documentのことであり、Microsoft Management Consoleに関連付けられたファイルです。
マイクロソフトのいわゆる管理コンソールです。
通常はこの拡張子のファイルで、デバイス管理、システム監視、ディスクのデフラグのような追加の管理管理を提供するプログラムを操作するための機構を提供したりします。
この新しい手法は、このMSCファイルを悪用します。 - XSSの悪用
MSCファイルを使って、XSSを仕掛けます。
XSSはクロスサイトスクリプティングです。
脆弱性があるままの状態のapds.dllを使います。
apds.dllはMicrosoftの提供するソフトウェアに含まれるDLLで、これまでに何度も脅威アクターに悪用されてきています。
今回も、これが攻撃の道具に使用されています。 - ステップ1:JavaScript実行
MSCファイルのStringTableセクションに脆弱なAPDSリソースへの参照を含めた状態に作成したものを被害者に開かせます。
そうすると、被害者の環境で管理コンソールプログラムが実行され、その実行権限でJavaScriptが実行されます。 - ステップ2:.Netコンポーネントの読み込み
次はJavaScriptを現地で組み立てます。
ActiveXの警告を回避するために「transformNode」難読化を使用し、動作を開始したJavaScriptコードはDotNetToJScriptを使用して「PASTALOADER」という名前の.NETコンポーネントをロードするVBScriptを再構築します。 - ステップ3: Cobalt Strikeペイロードの取得
PASTALOADERは、VBScriptによって設定された環境変数からCobalt Strikeペイロードを取得します。
そして、「dllhost.exe」の新しいインスタンスを生成し、関数のアンフックと間接的なシステムコールを組み合わせた「DirtyCLR」手法を使用してそれを挿入します。
攻撃者はこうしてCobalt Strikeペイロードを侵害環境に持ち込むことができてしまいました。
ここまで来てしまえば、あとは膨大な攻撃手法の中の好きなものを攻撃者は実行することができます。
オフィスのマクロを無効にしたら、isoを使うようになった。
isoとパスワード付きZipでMoTW(Mark of the Webです)が効くようになってしまったら、Windowsショートカットを使うようになった。
同じ頃に、OneNoteを使う攻撃者も出てきていました。
現在、この次々に悪用するファイルタイプを乗り換えている流れが、MSCファイルに来ているということかもしれません。
脅威には、さまざまなものがあります。
ある時点で有効な対策のないような新しい手法が出てくることもあるでしょう。
しかし、そういった新しい手法も、その攻撃手法の流れの中で既知の脆弱性が手当てされていないことが前提となっていることは少なくありません。
パッチケイデンスを適切に保つことと適切なパッチ適用範囲の維持は有効な対策となります。
健全な運用で安全な状態をキープしましょう。
GrimResource – Microsoft Management Console for initial access and evasion
https://www.elastic.co/security-labs/grimresource
| この記事をシェア |
|
|---|
