Een nieuwe techniek voor de uitvoering van commando’s, genaamd ‘GrimResource’, maakt gebruik van speciaal samengestelde MSC (Microsoft Saved Console) bestanden en een ongepatchte XSS-kwetsbaarheid in Windows om code-uitvoering te realiseren via de Microsoft Management Console.

In juli 2022 schakelde Microsoft standaard macro’s in Office uit, waardoor dreigingsactoren gingen experimenteren met nieuwe bestandstypen in phishingaanvallen. De aanvallers schakelden eerst over naar ISO-afbeeldingen en met wachtwoord beveiligde ZIP-bestanden, omdat deze bestandstypen geen Mark of the Web (MoTW)-vlag aan uitgepakte bestanden correct doorgaven.

Nadat Microsoft dit probleem bij ISO-bestanden had opgelost en 7-Zip de optie had toegevoegd om MoTW-vlaggen door te geven, moesten de aanvallers overstappen op nieuwe bijlagen, zoals Windows-snelkoppelingen en OneNote-bestanden.

De aanvallers zijn nu overgeschakeld op een nieuw bestandstype, Windows MSC (.msc) bestanden, die worden gebruikt in de Microsoft Management Console (MMC) om verschillende aspecten van het besturingssysteem te beheren of aangepaste weergaven van veelgebruikte tools te maken.

Het misbruik van MSC-bestanden voor het verspreiden van malware werd eerder gemeld door het Zuid-Koreaanse cyberbeveiligingsbedrijf Genian. Gemotiveerd door dit onderzoek ontdekte het Elastic-team een nieuwe techniek voor het verspreiden van MSC-bestanden en het misbruiken van een oude maar ongepatchte XSS-kwetsbaarheid in apds.dll om Cobalt Strike te implementeren.

Elastic vond een sample (‘sccm-updater.msc’) die recentelijk op VirusTotal was geüpload op 6 juni 2024, welke gebruik maakt van GrimResource, dus de techniek wordt actief geëxploiteerd in de natuur. Tot overmaat van ramp markeerde geen enkele antivirus-engine op VirusTotal het als kwaadaardig.

Hoewel deze campagne de techniek gebruikt om Cobalt Strike te implementeren voor initiële toegang tot netwerken, kan het ook worden gebruikt om andere commando’s uit te voeren.

De onderzoekers bevestigden aan BleepingComputer dat de XSS-kwetsbaarheid nog steeds ongepatcht is in de nieuwste versie van Windows 11.

Hoe GrimResource werkt

De GrimResource-aanval begint met een kwaadaardig MSC-bestand dat probeert een oude DOM-gebaseerde cross-site scripting (XSS) kwetsbaarheid in de ‘apds.dll’ bibliotheek te exploiteren, waarmee willekeurige JavaScript kan worden uitgevoerd via een samengesteld URL.

De kwetsbaarheid werd in oktober 2018 aan Adobe en Microsoft gemeld, en hoewel beide bedrijven het onderzochten, bepaalde Microsoft dat de zaak niet voldeed aan de criteria voor onmiddellijke reparatie.

Vanaf maart 2019 bleef de XSS-kwetsbaarheid ongepatcht, en het is onduidelijk of het ooit is aangepakt. BleepingComputer nam contact op met Microsoft om te bevestigen of ze de kwetsbaarheid hebben gepatcht, maar een reactie was niet onmiddellijk beschikbaar.

Het door aanvallers verspreide kwaadaardige MSC-bestand bevat een verwijzing naar de kwetsbare APDS-resource in de StringTable-sectie, dus wanneer het doelwit het opent, verwerkt MMC het en triggert de JS-uitvoering in de context van ‘mmc.exe.’

Elastic legt uit dat de XSS-kwetsbaarheid kan worden gecombineerd met de ‘DotNetToJScript’ techniek om willekeurige .NET code uit te voeren via de JavaScript-engine, waarbij beveiligingsmaatregelen worden omzeild.

De onderzochte sample gebruikt ’transformNode’ obfuscatie om ActiveX-waarschuwingen te omzeilen, terwijl de JS-code een VBScript reconstrueert die DotNetToJScript gebruikt om een .NET-component genaamd ‘PASTALOADER’ te laden.

PASTALOADER haalt een Cobalt Strike payload op uit de omgevingsvariabelen die door het VBScript zijn ingesteld, spawnt een nieuwe instantie van ‘dllhost.exe’ en injecteert het door gebruik te maken van de ‘DirtyCLR’ techniek in combinatie met function unhooking en indirecte systeemoproepen.

Elastic-onderzoeker Samir Bousseaden deelde een demonstratie van de GrimResource-aanval op X.

GrimResource stoppen

Over het algemeen wordt systeembeheerders geadviseerd om alert te zijn op het volgende:

• Bestandshandelingen met apds.dll aangeroepen door mmc.exe.
• Verdachte uitvoeringen via MCC, vooral processen gestart door mmc.exe met .msc-bestandsargumenten.
• RWX-geheugentoewijzingen door mmc.exe die afkomstig zijn van script-engines of .NET-componenten.
• Ongebruikelijke .NET COM-objectcreatie binnen niet-standaard scriptinterpreteren zoals JScript of VBScript.
• Tijdelijke HTML-bestanden gemaakt in de INetCache-map als resultaat van APDS-XSS-omleidingen.

Elastic Security heeft ook een volledige lijst met GrimResource-indicatoren gepubliceerd op GitHub en YARA-regels opgenomen in het rapport om verdedigers te helpen bij het detecteren van verdachte MSC-bestanden.