今年6月,Elastic安全研究人员揭露了一种新的野外代码执行技术,该技术利用了精心设计的MSC文件,称为GrimResource。
GrimResource技术的关键是利用apds.dll库中存在的 XSS 漏洞。攻击者通过在精心设计的 MSC 文件中的 StringTable 标签中添加对 APDS 资源的引用,可以在 Microsoft管理控制台(mmc.exe)上下文中执行任意 JavaScript代码;此技术与DotNetToJScript结合使用,以实现任意代码执行。
reference
-
https://www.elastic.co/security-labs/grimresource
-
https://github.com/ZERODETECTION/MSC_Dropper
1.组织概述
OceanLotus(海莲花、APT32、APT-Q-31)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻击范围甚至延伸到了关键信息基础设施、能源、医疗、军民融合等各个领域。此后至今,海莲花依旧针对以中国和越南周边国家为主的东亚及东南亚多国,及国内反对派人士,采取鱼叉攻击手段,发动以信息窃取为主的攻击活动。
下半年,猎捕发现海莲花组织使用GrimResource技术进行钓鱼攻击,MSC文件释放恶意文件,实施定向窃密攻击。
2.组织TTPs
初始访问
使用钓鱼邮件获得初始入口点,攻击者发送“xxx”为主题的钓鱼邮件,诱使受害者点击钓鱼链接下载压缩包,内含使用GrimResource技术的msc钓鱼文件。
检测规避
使用GrimResource技术的msc文件释放一个exe与一个dll文件,利用白加黑方式加载CobaltSrike Beacon实现检测规避目的
持久化
创建计划任务和服务实现持久化,并下载后阶段样本。
数据窃取
下载多个远控木马,对目标进行深度控制,窃取重要数据。
2.1 猎捕策略
以下目录是否存在可疑文件
C:Program FilesCloudflare
是否存在可疑计划任务或服务
Warp
是否存在外连可疑进程
mmc.exe
Warp.exe
3.样本分析
3.1 msc钓鱼文档
文件名 |
功能 |
md5 |
IoC |
《国际论坛》外审专家邀请函与文章评审单.msc |
钓鱼邮件msc文档 |
7445a07afe6d8f21f93308d73cdd7939 |
sz-everstar[.]com |
点击钓鱼文档后释放正常文档。
该文件实际为xml格式文件,StringTables标签存在可疑的JavaScript代码:
解码后发现被混淆的JavaScript代码:
JavaScript代码主要是读取msc其他标签的数据,解密后释放一个正常文档,在C:Program FilesCloudflare目录下释放Warp.exe和7z.dll文件。
Warp.exe为正常的解压缩程序,加载7z.dll实现正常功能。
后续利用Dll劫持执行恶意7z.dll并创建Warp恶意服务实现持久化。
7z.dll内存中解密执行ShellCode,外连sz-everstart[.]com。
ShellCode为CobaltStrike Beacon。
3.2 MSBuild文件
文件名 |
功能 |
md5 |
IoC |
slxn9sb9.dmp |
钓鱼邮件msc文档 |
27c294fce8688de31baa6f0b10ea6cec |
xpmediaweb[.]net |
slxn9sb9.dmp文件为C#代码,通过MSBuild编译后执行。
编译后主要功能为解密加载shellcode,shellcode用3DES加密,密钥为55AF-7C3B-46FDBC。
执行ShellCode,外连地址xpmediaweb[.]net。
ShellCode为Cobalt Strike Beacon。
4.IoC
-
27c294fce8688de31baa6f0b10ea6cec
-
7445a07afe6d8f21f93308d73cdd7939
-
7a79ab30b38601d2797a04be6194fdc4
-
597fd2daf8db08e4be40caff97223e26
-
80b5bddf4c7e027832fa20b6490ca026
-
sz-everstar[.]com
-
xpmediaweb[.]net
原文始发于微信公众号(TahirSec):APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析