Devam eden bir kampanya, Güneydoğu Asya’daki üst düzey örgütleri enfekte etmek için büyük ölçüde duyurulmayan iki gizli teknik kullanıyor.
Birincisi, “GrimResource”, saldırganların Microsoft Yönetim Konsolu’nda (MMC) keyfi kod yürütmesine olanak tanıyan yeni bir tekniktir.
İkinci numara, “AppDomainManager Enjeksiyonu”, kötü amaçlı dinamik bağlantı kitaplıkları (DLL’ler) kullanır, ancak geleneksel yan yüklemeden daha kolay bir şekilde. Yedi yıldır var olan bu numara, İran’dan gelen tehdit aktörleriÇin, daha geniş açık kaynak topluluğu, kalem testçileri ve diğerleri. Yine de vahşi doğada kötü amaçlı kampanyalarda nadiren görülür.
NTT araştırmacıları yeni bir blog yazısında, Temmuz ayından bu yana benzer özelliklere sahip bir saldırganın Çin’in APT41’i olmuştur bu teknikleri bir arada kullanmak Tayvan hükümet kurumlarına, Filipin ordusuna ve Vietnam’daki enerji örgütlerine ait BT sistemlerine Cobalt Strike’ı düşürmek.
GrimResource Nasıl Çalışır?
Bu kampanyanın parçası olan saldırılar, bir kimlik avı e-postasında veya kötü amaçlı bir web sitesinde bulunan bir ZIP dosyasıyla başlıyor.
ZIP, Windows sertifikası veya PDF simgesi içeren bir dosya içerir. Aslında, bu bir yönetim kaydedilmiş konsol (MSC) dosyasıdır, MMC içindeki yapılandırmaları ve ayarları kaydetmek için kullanılan bir dosya türüdür.
MSC’ler son zamanlarda tehdit aktörleri arasında popülerlik kazanıyor. Elastic’te tehdit ve güvenlik istihbaratı başkanı Jake King’in açıkladığı gibi, Microsoft’un bir dizi varsayılan denetimlerde değişiklikler e-postalardan yükleri yürütmek için kullanılabilirdi. “MSI’ler, ISO’lar ve LNK dosyaları kullanarak kolay sömürüler görmeye başladık. Ancak daha gelişmiş gruplar bu ilk vektör olarak MSC’den faydalanmaya başladı,” diyor.
“Oldukça ilginç, yetenekli bir dosya biçimi, [and] “Genellikle kötüye kullanılan birçok yaygın dosya biçiminden daha az dikkat çekmişti,” diye ekliyor ve ekliyor: “MMC’nin, yararlanabileceğiniz bir dizi kalıcılık mekanizması var – bazı eski güvenlik açıkları.”
Böyle bir güvenlik açığından faydalanmak için bir teknik şudur: GrimKaynakilk olarak Temmuz ayında Elastic tarafından keşfedildi. GrimResource, MMC’de keyfi kod yürütmeyi etkinleştirmek için Windows’un Kimlik Doğrulama Protokolü Alan Desteği (APDS) kitaplığındaki altı yıllık bir çapraz site betikleme (XSS) sorunundan yararlanıyor. Bu kampanyada, saldırganlar bunu enfeksiyon sürecindeki bir adımı ortadan kaldırmak için kullanıyor: Bir kurbanın MSC dosyasındaki kötü amaçlı bir bağlantıyı tıklaması yerine, MSC dosyasını açmak gömülü Javascript’i tetikleyecek.
Kötü amaçlı Javascript daha sonra meşru, imzalı bir Microsoft yürütülebilir dosyasını – “dfsvc.exe” – “oncesvc.exe” olarak yeniden adlandırarak indirir ve çalıştırır. Ancak dosya tamamen dürüstse, kötü amaçlı yazılım indirmek için nasıl kullanılabilir?
AppDomainManager Enjeksiyonunu Etkinleştirme
Microsoft’un .NET framework’ü ile oluşturulan tüm uygulamalar, “AppDomainManager” sınıfı tarafından oluşturulan ve yönetilen bir veya birden fazla uygulama etki alanı çalıştırır. AppDomainManager enjeksiyonunda, bir saldırgan kötü amaçlı kod içeren bir AppDomainManager sınıfı oluşturur, ardından hedeflenen uygulamayı meşru olan yerine yüklemesi için kandırır. Bu, üç belirli ortam değişkenini (APPDOMAIN_MANAGER_ASM, APPDOMAIN_MANAGER_TYPE ve COMPLUS_VERSION) yapılandırarak veya bu kampanyada olduğu gibi, uygulamayı kötü amaçlı AppDomainManager’ını çalıştırması için yönlendiren özel bir yapılandırma dosyası yükleyerek yapılabilir.
“Etkili bir şekilde, işletim sistemine .NET uygulamalarını nasıl yükleyeceğini ve işleyeceğini söyleyen Windows işletim sisteminin parçası olan Ortak Dil Çalışma Zamanı’na (CLR) .NET işlemi çalıştırdığınız her seferinde kötü amaçlı bir DLL eklemesini söylüyorsunuz,” diye açıklıyor Rapid7’de penetrasyon testi için baş güvenlik danışmanı olan Nicholas Spagnola. “Etkili bir şekilde, hemen hemen her .NET uygulamasını topraktan yaşayan bir ikili dosyaya, yani lolbin’e dönüştürmenize olanak tanır.”
NTT araştırmacıları, “Şu anda, DLL yan yüklemesi kötü amaçlı yazılımları çalıştırmanın en yaygın yöntemidir,” diye yazdı, “ancak AppDomainManager Enjeksiyonu, DLL yan yüklemesinden çok daha kolaydır ve gelecekte istismarın artabileceği konusunda endişeler vardır.”
Bu tür kötü amaçlı saldırıları tespit etmek çok zor olabileceğinden, King, bu tür saldırıların başlamadan önce engellenmesini sağlayan bir savunma yaklaşımı öneriyor.
“Burada baktığınız en büyük şey, ilk etapta yüklerin yürütülmesini önleyebilmektir,” diyor. Örneğin, bu son kampanyada, “Bunlar ZIP dosyaları getiren mızraklı kimlik avı saldırılarıdır. MMC düzeyinde uygulayabileceğiniz ilkel kontroller vardır, ancak [prevention] “Aslında bu, e-posta hijyeni konusunda harika uygulamalara dayanıyor.”