Microsoft Management Console para acceso inicial y evasión
Los actores de amenazas están explotando una nueva técnica de ataque denominada GrimResource, diseñada para obtener la ejecución completa del código que aprovecha archivos de consola de administración guardados (MSC) mediante Microsoft Management Console (MMC) y evadir las defensas de seguridad.[1]
Elastic Security Lab, identificó un artefacto (sccm-updater.msc) el cual con un análisis en la plataforma de escaneo de malware VirusTotal, no lo detectaba como peligroso.[2]
Resultado VirusTotal [2]
Cuando el archivo de consola malintencionado es importado, una vulnerabilidad en una de las bibliotecas MMC puede provocar la ejecución de código adversario, incluyendo malware.
Los atacantes pueden combinar esta técnica con DotNetToJScript para obtener la ejecución de código, lo que puede conducir a acceso no autorizado y la toma del control del sistema.[1]
La muestra analizada utiliza este enfoque para lanzar un componente de carga .NET denominado PASTALOADER, genera una nueva instancia dllhost.exe y le inyecta la carga útil. Esto hace que de manera sigilosa utilice la técnica DirtyCLR , desconexión de funciones y llamadas al sistema indirectas.[2]
En esta muestra, la carga útil final es Cobalt Strike.
El mes pasado, la firma surcoreana de ciberseguridad Genians detalló el uso de un archivo MSC malicioso por parte del grupo de piratería Kimsuky, vinculado a Corea del Norte, para distribuir malware. Esta campaña de ataque se hace pasar por un individuo legítimo, está diseñada para atacar a activistas de los sectores norcoreanos de derechos humanos y anti-Corea del Norte, aprovecha la plataforma de redes sociales para acercarse a los objetivos a través de Facebook Messenger y engañarlos para que abran documentos aparentemente privados escritos por la persona. Los documentos señuelo, alojados en OneDrive, son un documento de Microsoft Common Console que se hace pasar por un ensayo o contenido relacionado con una cumbre trilateral entre Japón, Corea del Sur y EE. UU. "My_Essay(prof).msc" o "NZZ_Interview_Kohei Yamamoto". msc".[3]
Esto plantea la posibilidad de que la campaña esté orientada a personas específicas en Japón y Corea del Sur.
El uso de archivos MSC para llevar a cabo el ataque es una señal de que se estan utilizando documentos poco comunes para pasar desapercibidos. En un intento adicional de aumentar las probabilidades de éxito de la infección, el documento se disfraza como un archivo de Word inofensivo utilizando el icono del procesador de textos.[3]
Ejemplo de ejecución exitosa de GrimResource
Existe la siguiente regla YARA para detectar archivos similares a los scripts de ejecución a través de la consola MMC: [2]
rule Windows_GrimResource_MMC {
meta:
author = "Elastic Security"
reference = "https://www.elastic.co/security-labs/GrimResource"
reference_sample = "14bcb7196143fd2b800385e9b32cfacd837007b0face71a73b546b53310258bb"
arch_context = "x86"
scan_context = "file, memory"
license = "Elastic License v2"
os = "windows"
strings:
$xml = " $a = "MMC_ConsoleFile"
$b1 = "apds.dll"
$b2 = "res://"
$b3 = "javascript:eval("
$b4 = ".loadXML("
condition:
$xml at 0 and $a and 2 of ($b*)
}
Indicadores de compromiso:
| IOC | Tipo | Nombre | Referencia |
| 14bcb7196143fd2b800385e9b32cfacd837007b0face71a73b546b53310258bb | SHA-256 | sccm-updater.msc | Abused MSC File |
| 4cb575bc114d39f8f1e66d6e7c453987639289a28cd83a7d802744cd99087fd7 | SHA-256 | N / A | PASTALOADER |
| c1bba723f79282dceed4b8c40123c72a5dfcf4e3ff7dd48db8cb6c8772b60b88 | SHA-256 | N / A | Cobalt Strike Payload |
Referencias
- [1] The Hacker News. (s. f.). New attack technique exploits Microsoft management console files. https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html
- [2] Desimone, J. (2024, 22 junio). GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs. https://www.elastic.co/security-labs/grimresource
- [3] The Hacker News. (s. f.-b). North Korean Hackers Exploit Facebook Messenger in Targeted Malware Campaign. https://thehackernews.com/2024/05/north-korean-hackers-exploit-facebook.html
