- 13,858
- 20
- 8 Ноя 2022
Отключение макросов в Office привело к очередной лазейке для незаметного взлома.
Elastic Security Labs Для просмотра ссылки Войдиили Зарегистрируйся новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS -уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC). Elastic поделилась Для просмотра ссылки Войди или Зарегистрируйся атаки GrimResource.
MSC-файлы используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов.
6 июня 2024 года на платформе VirusTotal был обнаружен файл «sccm-updater.msc», использующий технику GrimResource, что указывает на активное использование такой методики. К сожалению, ни один антивирус Для просмотра ссылки Войдиили Зарегистрируйся как вредоносный.
Результаты сканирования VirusTotal
Киберпреступники используют указанную технику для первоначального доступа к сетям и выполнения различных команд. Специалисты подтвердили, что XSS-уязвимость в Windows 11 все еще не исправлена, несмотря на обнаружение ее в 2018 году.
Атака начинается с вредоносного MSC-файла, который пытается использовать Для просмотра ссылки Войдиили Зарегистрируйся позволяя выполнить JavaScript через URL. Тактика GrimResource позволяет объединить XSS-уязвимость с методом Для просмотра ссылки Войди или Зарегистрируйся чтобы выполнить произвольный .NET-код через движок JavaScript, обойдя меры безопасности.
Рассматриваемый образец использует обфускацию для уклонения от предупреждений ActiveX, а JavaScript-код активирует VBScript для загрузки .NET-компонента «PASTALOADER», который извлекает полезную нагрузку Cobalt Strike.
Системные администраторы должны обращать внимание на признаки компрометации, такие как операции с файлами «apds.dll», подозрительные выполнения через MCC и необычное создание COM-объектов .NET. Elastic Security Для просмотра ссылки Войдиили Зарегистрируйся список индикаторов GrimResource и предложила правила YARA для помощи защитникам в обнаружении подозрительных файлов MSC.
Атака GrimResource появилась после того, как Microsoft Для просмотра ссылки Войдиили Зарегистрируйся в июле 2022 года, из-за чего злоумышленники стали экспериментировать с новыми типами файлов в атаках. С тех пор Для просмотра ссылки Войди или Зарегистрируйся файлов ISO, RAR и LNK во вредоносных кампаниях, и сейчас к этому списку добавились MSC-файлы.
Elastic Security Labs Для просмотра ссылки Войди
MSC-файлы используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов.
6 июня 2024 года на платформе VirusTotal был обнаружен файл «sccm-updater.msc», использующий технику GrimResource, что указывает на активное использование такой методики. К сожалению, ни один антивирус Для просмотра ссылки Войди
Результаты сканирования VirusTotal
Киберпреступники используют указанную технику для первоначального доступа к сетям и выполнения различных команд. Специалисты подтвердили, что XSS-уязвимость в Windows 11 все еще не исправлена, несмотря на обнаружение ее в 2018 году.
Атака начинается с вредоносного MSC-файла, который пытается использовать Для просмотра ссылки Войди
Рассматриваемый образец использует обфускацию для уклонения от предупреждений ActiveX, а JavaScript-код активирует VBScript для загрузки .NET-компонента «PASTALOADER», который извлекает полезную нагрузку Cobalt Strike.
Системные администраторы должны обращать внимание на признаки компрометации, такие как операции с файлами «apds.dll», подозрительные выполнения через MCC и необычное создание COM-объектов .NET. Elastic Security Для просмотра ссылки Войди
Атака GrimResource появилась после того, как Microsoft Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
