APT组织执行了“AppDomainManager 注入”,这类似于 DLL 侧加载,但可以说更容易、更隐蔽。
正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。
第一个“GrimResource”是一种新技术,允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。
第二种技巧是“AppDomainManager 注入”,它使用恶意动态链接库 (DLL),但比传统的侧载更简单。这种技巧已经存在七年了,被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。
NTT 研究人员在一篇新博客文章中表示,自 7 月以来,一个高级威胁组织一直在结合使用这些技术,将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。
GrimResource 的工作原理
攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。
ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上,它是一个管理保存控制台 (MSC) 文件,这是一种用于保存 MMC 内配置和设置的文件类型。
MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改,这些更改可用于从电子邮件中执行有效负载。
这是一种非常有趣且功能强大的文件格式,与许多经常被滥用的常见文件格式相比,它受到的关注较少。
利用此类漏洞的一种技术是GrimResource,它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题,在 MMC 中实现任意代码执行。
在此活动中,攻击者使用它来消除感染过程中的一个步骤:无需让受害者单击 MSC 文件中的恶意链接,只需打开 MSC 文件即可触发嵌入的 Javascript。
然后,恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”,并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的,那么它如何被用来下载恶意软件呢?
激活 AppDomainManager注入
所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域,这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中,攻击者会使用恶意代码创建一个 AppDomainManager 类,然后诱骗目标应用程序加载该类而不是合法应用程序。
这可以通过配置三个特定环境变量(APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION)来实现,或者像本次攻击活动中的情况一样,上传一个自定义配置文件,该文件只会指示应用程序运行其恶意的 AppDomainManager。
Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说:“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分,它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。
NTT 研究人员写道:“目前,DLL 侧载是执行恶意软件的最常见方法,但 AppDomainManager 注入比 DLL 侧载容易得多,并且人们担心未来利用可能会增加。”
由于发现此类恶意注入非常困难,King 建议采取一种防御方法,在此类攻击发生之前进行阻止。
转自军哥网络安全读报
暂无评论内容