GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

GA黄金甲ADLab：MSC文件的在野利用情况与黑客攻击活动分析

颁布功夫 2024-09-14

一、背景

2024年6月22日，一个利用MSC体式的新型攻击技术的恶意样本呈此刻VT平台上，此时利用这种技术的恶意样本在VT上均显示为零检测率。这种技术被Elastic钻研团队定名为“GrimResource”，其通过恶意构建的MSC文件在Microsoft治理节造台中执行肆意代码。GA黄金甲ADLab在尔后的两个月功夫中，持续关注使用这种利用手法的攻击，通过监测的了局分析发现：自该技术公开后，同类攻击迅快增长，到目前为止可能监测到的有效攻击及其攻击样本有100多起。并且有越来越多的APT组织、黑产团伙和红队利用该技术在全球领域内进行网络攻击，蕴含Kimusuky、银狐、海莲花等。目前已发现的指标有中国、韩国、越南、蒙古等国度确当局机构和企业，涉及当局、科技、教育、石油等敏感行业。

这些攻击普遍通过MSC文件作为恶意payload，通过各类方式发送给指标并诱使指标打开该文件。由于MSC体式的攻击文件是一种相对罕见的文件类型（无数被攻击者可能熟悉.exe、.doc等常见的可执行文件扩大名，但并不相识.msc文件，因而可能在现实攻击中产生奇效），并且目前防护系统也鲜有对此类文件的针对性检测，所以黑客利用该技术实现攻击的成功率高，被检测和发现的几率低，就目前我们观察到攻击钓饵，有蕴含如：“《**论坛》表审专家约请函与文章评审单”、：“匿名审稿专家回执 (校表) ”、“合用于南海的两种司法造度钻研 (稿件)”、“美国战术收缩对中东地缘政治的影响”、“****网络大会”等极具引诱性的攻击，一旦点击其中的MSC文件，其系统便会被植入窃密木马，导致沉要敏感数据被窃取。

通过我们对攻击的追忆发现早在2024年4月，Kimusuky APT组织就起头利用MSC文件来对其指标执行了大量的攻击，但其利用手法与GrimResource技术有所分歧。由于MSC样本的公开利用和技术演变尚处于发展初期，因而有关攻击样本和手法的变动值得引起持续关注。此表，Outflank于8月13日发文称GrimResource技术源于其兵器库，其在攻防演练中被防守方上传到公共沙箱。

MSC(Microsoft Snap-In Control)文件，是微软治理节造台(MMC)用来增长/删除的嵌入式治理单元文件, 由于此类文件可能执行号令和剧本，因而攻击者可能借助MSC文件在指标系统上执行各类恶意工作。自微软默认限度来自互联网的Office宏文档后，LNK、MSI、ISO等其他类型的恶意利用数量就起头大幅增长，这次新出现的GrimResource技术也天经地义成为了黑客们的新宠，有关MSC样本数量自4月以来呈高快增长态势。因而，GA黄金甲ADLab针对近期捕获到的MSC样本进行了深刻的分析，本文将重要介绍目前MSC文件在野利用技术的有关道理，披露近期利用MSC文件的多起攻击活动，并沉点针对其中的两个案例进行深刻分析。

二、近期在野攻击活动分析

通过对目前网络到的100余个MSC样本的分析，我们发现最早的利用样本呈此刻2024年4月5日，所有样本中，呈此刻4-5月的攻击样本重要属于Kimusuky组织。6月后，随着GrimResource技术的公开，MSC体式的样本数量以月为单元呈显著的递增关系，批注黑客们正积极利用和测试有关攻击技术并转化为现实攻击。以下是近几个月捕获到的MSC体式的攻击样本数量图。

图片1.png

图1 MSC攻击样本数量统计图（单元:月）

在这批攻击样本中，其中一些是基于开源项目编译的样本（如下图中图标为“眼睛”的样本即为开源项目MSC_Dropper天生），这类样本可能是部门攻击者在积极地进行技术筹备和免杀测试。同时，一些真实的攻击活动也越来越频仍地出现，在现实攻击中样本通�；岚淹急昙僮俺蒞ORD、PDF、MP4等各类常见的文件体式用以蛊惑受害指标，下图是部门样本及图标示例。

图片2.png

图2 捕获MSC样本示例

从中我们发现了数起针对全球多个国度和地域的攻击活动，指标重要蕴含中国、韩国、越南、蒙古等，攻击的指标行业则涉及当局、科技、教育、石油等敏感行业。其中，针对中国的APT攻击活动在近期起头显著增多。在7月初期，有关攻击重要以“易翻译副手”、”抖音千粉企业号”、“教育行业数据”等为钓饵的黑产组织攻击为主。而在8月之后，起头陆续出现了多起以政治议题、专家约请、会议日程、投诉建议、举报资料等针对当局组织或科研部门的针对性攻击，必要引起高度警惕，部门钓饵文档如下所示。

图片3.png

图3 主题为“专家约请函”类的钓饵文档

图片4.png

图4 主题为“政策造度钻延妆类的钓饵文档

图片5.png

图5 主题为“****网络大会”的钓饵文档

图片6.png

图6 针对水利署的钓饵文档

除了针对中国以表，韩国、越南、蒙古等多国也接连遭逢到利用MSC文件的攻击活动，其中尤以韩国遭逢的攻击最多，这可能与kimsuky组织的攻击指标偏差有关，部门攻击活动钓饵如下所示。

图片7.png

图7 针对韩国的钓饵文档

图片8.png

图8 针对越南石油公司的钓饵文档

在针对这批样本进行深刻分析后，我们发现了攻击者使用的多个基础设施，蕴含多阶段下载服务器和C2服务器等，其中大部门都选取了云服务来滋扰溯源追踪，其中一些服务器归属于美国、日本、瑞典、法国、新加坡等国度。部门样本及C2服务器如下所示。

表1 恶意服务器地址

表1-1.png

表1-2.png

同时，我们也捕获到了部门样本的投递URL地址如下表所示。

表2 样本投递URL

表2-1.png

表2-2.png

三、MSC文件利用技术道理分析

MSC(Microsoft Snap-In Control)文件，是微软治理节造台(MMC)用来增长/删除的嵌入式治理单元文件, 治理员通过创建节造台能够治理推算机的各类设置，增长各类职能如用户账户治理、系统服务、设备驱动法式等，而后能够将这些治理单元的自界说配置以XML的大局保留到磁盘上，即MSC体式。Windows中常见的设备治理器、磁盘治理器、组战术治理器等都是MSC体式文件。如下图是自界说MSC文件的治理单元工作板界面，攻击者能够通过编程的方式与MMC进行交互，从而机关自界说的界面和内容。

图片9.png

图9 MSC文件治理单元工作板

我们在进一步针对这批样本分析后，发现目前MSC体式文件的在野利用方式重要有两种。在受害者默认开启用户账户节造（UAC）的情况下，第一种利用方式必要与受害者交互两次（重要由Kimusuky组织使用）；另一种只需交互一次(GrimResource技术)，有关技术利用流程图如下所示。

图片10.png

图10 MSC文件技术利用流程图

利用方式一：在受害者打开MSC文件后，首先弹出UAC节造选项，若是选择是，则持续弹出攻击者定造的Microsoft治理节造台界面诱导指标，一旦受害者持续点击open打开文档即会中招，执行cmd号令、powershell剧本等后续利用阶段。

图片11.png

图11 利用方式一

对于此类样本，攻击者通过编纂MSC文件的界面伪造UI表观，从而诱骗受害者点击节造台工作板上的链接，而不会产生疑惑。这种利用方式借助了MMC中的节造台工作板执行攻击，节造台工作板是在MMC1.2中引入的，攻击者能够借助节造台工作板来执行各类工作，例如打开属性页、执行菜单号令、运行号令行和打开网页等，目前重要发现Kimsuky组织在大量使用此类攻击方式，有关利用样本的最早出现功夫是在今年4月5日，利用示例如下图所示。

图片12.png

图12 节造台工作板执行肆意号令示例

图片13.png

图13 工作板执行肆意号令XML

利用方式二：GrimResource技术，该技术利用apds.dll中的XSS缝隙，通过MSC文件的StringTable部门引用易受攻击的APDS资源，从而实现嵌入在MSC文件中的JS代码肆意执行，最后执行XML中的剧本代码。相较于利用方式一，其拥有至少的安全忠告，无疑可能使得攻击的成功率大大提高。同时，对于好多为了方便而默认取缔UAC通知的受害者来说更是能达到无交互即可执行的成效。

技术利用关键点：

将ActiveX对象加载到“ActiveX控件”治理单元中。
将HTML文件加载到“链接到Web地址”治理单元中。
在HTML文件中，使用JavaScript与加载的ActiveX对象进行交互。并通过 MSXML步骤，触发XSL转换来执行JScript代码。
最后从JScript代码中挪用系统函数，或者通过 DotNetToJScript 执行.NET代码。

首先，在MMC法式中，攻击者能够自界说插入ActiveX控件。通过文件编纂器打开创建的MSC文件时，能够看到创建的ActiveX控件存储在XML的StringTable中。

图片14.png

图14 插入ActiveX控件对象

但若是想成功加载对象，就要绕过ActiveX 控件的安全忠告。攻击者选取了一种奇妙的步骤，通过Microsoft Internet Explorer浏览器组件接见external 对象，从而与MMC节造台的其他元素进行交互，这是微软官方支持的一种方式。如下图中，scopeNamespace和docObject即是通过external.Document获取现有对象，而非创建新的ActiveX对象，进而绕过了直接创建ActiveX控件时的安全限度。

图片15.png

图15 GrimResource技术利用代码

同时，攻击者利用了apds.dll的一个XSS缝隙，从而能够执行Console Root中的Jscript，进而再执行XML中的剧本。这其中还涉及到一个技巧，即利用MSXML（Microsoft.XMLDOM / {2933BF90-7B36-11D2-B20E-00C04F983E60} ）执行XSL文件中嵌入的剧本。

XSLT是一种用于将XML文档转换为其他文档体式的说话，XSLT形状表（XSL）则界说了若何将一个XML文档转换为其他大局。微软支持MSXML XSLT使用元素及其属性implements-prefix实现并扩大函数以提供剧本级支持。因而，攻击者通过MSXML的方式即可执行XSL文件中嵌入的剧本，如挪用函数 XML.transformNode(xsl)，即可执行嵌入的剧本及后续的恶意利用�？�，解码剧本中的标签如下图所示。

图片16.png

图16 剧本中的

四、案例分析

GA黄金甲ADLab接连捕获到了多起利用MSC文件针对全球指标的攻击活动。其中已发现针对中国、韩国、越南、蒙古等国度确当局机构和企业的攻击，越来越多的APT组织、黑产团伙和红队在利用有关技术在全球领域内进行网络攻击，蕴含Kimusuky、银狐、海莲花等。在诸多的攻击案例中，我们拔取了在技术层面较有代表性且相对敏感的两类攻击样本作为这次的分析案例，利用GrimResource技术针对中国的攻击活动，以及Kimsuky组织利用MMC节造台工作板针对韩国的最新攻击活动。下面我们将对拔取的两个案例进行深刻的分析。

4.1 以政治话题为钓饵针对中国的攻击活动

此案例利用的是GrimResource技术，当受害者点击运行msc文件时，mmc.exe会执行样本中的js代码，继而执行嵌入在xml中的VBScript代码。其中，引致VBA代码的执行的关键点是transforNode(xsl)步骤的挪用。

图片17.png

图17 引致VBA代码执行的关键点

transforNode步骤常用于将一个XML文档通过XSLT形状表（作为参数）转换为其他文档体式。若是XSLT形状表中含有或元素时，那么元素中的剧本则会在转换过程中被执行。

图片18.png

图18 XSLT形状表内容

被执行的VBScript代码通过自界说编码和解码、字符串拼接、特殊字符混合编码等混合技术，可能有效地暗藏其真实逻辑和恶意行为，同时增长了分析人员进行逆向分析的功夫成本。下图展示了在初次解码之后的部门代码块，可能看到代码中依然存在着其他混合。

图片19.png

图19 混合的VBScript代码

我们持续对代码进行去混合以及函数沉定名处置后，能够看到剧本先是设置文件蹊径和目录结构，再从XML结构中提取数据进行base64解码并保留为指定文件（钓饵文档），最后打开该文件。

图片20.png

图20 开释钓饵文档

在本案例中，用于蛊惑受害者的是三个假装成Word的钓饵MSC文件，具体内容如下图所示。

图片21.png

图21 钓饵文档示例一

图片22.png

图22 钓饵文档示例二

图片23.png

图23 钓饵文档示例三

接着提取和解码其他base64数据，再将解码后的数据保留为最终的Warp.exe和7z.dll可执行文件。随后将“ t 8.8.8.8”作为参数（自动加载同目录下“7z.dll”的所需前提）启动Warp.exe法式。

图片24.png

图24 天生并执行warp.exe法式

经查看，“Warp.exe”拥有 “Lenovo (Beijing) Co., Ltd.”的合法数字署名，其原文件名为“7zwrap.exe”。具体信息如下图所示。

图片25.png

图25 “Warp.exe”具体信息

当恶意“7z.dll”文件被“Wrap.exe”成功加载后，其会在内存中对指定数据进行解密。经内存特点扫描后，判定最终被加载执行的是CobaltStrike，我们提取出的CS配相信息如下图所示。

图片26.png

图26 CS配相信息

4.2 以学术演讲为钓饵针对韩国的攻击活动

该案例是Kimsuky APT黑客组织在今年所引入的一种新的攻击战术，攻击者通过XML的设置属性将MSC恶意文件的图标设置为Word图标，借以假装成WORD文德反蛊惑受害者。

图片27.png

图27 假装的Word图标

当受害者点击MSC文件时，用户账户节造（UAC）会弹出要求权限选择，若是选[是]，则会通过执行msc衔接法式mmc.exe，展示攻击者定造的名为“?????.docx”的Microsoft治理节造台界面。具体如下图所示。

图片28.png

图28 “?????.docx”的Microsoft治理节造台界面

代码中蕴含一段cmd参数号令行，其中使用了三个网页浏览器可识此外HTML特殊符号，其所对应的解析内容如下表所示。

表3 特殊符号内容解析

表3.png

图片29.png

图29 含有特殊符号的cmd参数号令行内容

通过该符号所对应的解析进行代替后，得到了如下图所示的批处置号令。该串批处置号令则是执行MSC后的治理节造台根工作窗口的号令行参数。该段号令的重要职能是从指定URL下载名为“Grieco Kavanagh Passive Supporters.docx”的用于假装的钓饵文档，以及后续阶段的“pest.exe”和“pest.exe.manifest”文件。除此之表，其还会创建一个名为“TemporaryClearStatesesf”的打算工作，每58分钟执行一次“%appdata%\pest.exe”文件。内容如下图所示。

图片30.png

图30 cmd参数号令行内容

查看“pest.exe”法式具体信息，发现该法式的数字署名名称为“Adersoft”，原始文件名为“launcher.exe”。该法式为VBSEdit（由Adersoft公司出品的一款幼巧而强悍的VBScript编纂工具）剧本启动器。

图片31.png

图31 “pest.exe”法式具体信息

在“pest.exe”法式启动时，会默认加载“pest.exe.manifest”文件，. manifest文件是Windows利用法式清单文件的一部门，常用于指定利用法式的运行时前提和环境变量等。攻击者利用此法式的运行机造将恶意代码写入至清单文件中，那么当“pest.exe”法式运行时恶意代码便可被自动加载执行。

图片32.png

图32 “pest.exe”法式执行报错

“pest.exe.manifest”文件内容是XML体式，恶意代码蕴含在“”标签之间。该文件的重要职能是由一段经base64编码的VBScript代码来实现。部门代码如下图所示。

图片33.png

图33 base64编码的VBScript代码

解码后我们能够看到，恶意代码首先会判断"%appdata%\ Microsoft \"目录下是否存在“sim.sid”文件。若存在且幼于9字节，则删除该文件并退出剧本；不然，将“sim.sid”移动至”%appdata%\Microsoft\sif.bat"并运行bat文件，执行实现后删除自身文件。

图片34.png

图34 bat文件操作代码

若是“sim.sid”文件不存在，则向指定的Google drive链接发送HTTP要求，并获取响应内容。

图片35.png

图35 向Google drive共享链接发送要求

成功获取后，从接管到的内容中提取base64编码的数据（在"pprbstart--"和"--pprbend"标签之间），最后代替特殊字符并将解码后的数据写入至”%appdata%\Microsoft\sif.bat"。

图片36.png

图36 解析响应内容

截止分析时该Google drive共享链接已失效，临时无法获取到后续阶段的攻击样本，分析至此实现。

五、总结

本文针对我们近期捕获到的一系列基于新型MSC文件的攻击活动进行了分析，沉点介绍了目前MSC文件在野使用的两种利用技术道理，披露近期利用MSC文件的多起敏感攻击活动，并针对其中的两个案例进行了深刻分析。从近几个月MSC文件有关攻击的活跃趋向来看，攻击活动涉及到越来越多的APT组织、黑产组织以及红队等，尤其是近期针对政治、科技、教育、石油等领域的APT攻击起头显著增多，必要引起有关政企和幼我用户的沉点关注。

同时，MSC文件的公开利用和技术演变尚处于发展初期，只管目前只是发现了两种在野利用方式，但MMC自身存在不少安全隐患，将来随着更多攻防钻研人员的深刻挖掘，可能会出现更多基于MSC或是其它Windows组件的新型恶意利用技术，GA黄金甲ADLab也将持续追踪有关技术的发展演进，实时披露有关威胁活动。

GA黄金甲积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概想首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计颁布安全缝隙5000余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖基础安全钻延注数据安全钻延注5G安全钻延注人为智能安全钻延注移动安全钻延注物联网安全钻延注车联网安全钻延注工控安全钻延注信创安全钻延注云安全钻延注无线安全钻延注高级威胁钻延注攻防系统建设。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】