Търсене
Close this search box.

Вълната от атаки, започнала през юли 2024 г., разчита на по-рядко срещана техника, наречена AppDomain Manager Injection, която може да използва всяко приложение на Microsoft .NET в Windows.

Техниката е известна от 2017 г. и през годините са пуснати множество приложения, доказващи концепцията. Тя обаче обикновено се използва в ангажименти на червения екип и рядко се наблюдава в злонамерени атаки, като защитниците не я наблюдават активно.

Японското подразделение на NTT е проследило атаки, които завършват с разгръщане на радиомаяк CobaltStrike, насочени към правителствени агенции в Тайван, военни във Филипините и енергийни организации във Виетнам.

Тактиките, техниките и процедурите, както и инфраструктурните припокривания с последните доклади на AhnLab и други източници предполагат, че зад атаките стои китайската държавно спонсорирана група за заплахи APT 41, въпреки че това приписване е с ниска степен на достоверност.

Впръскване на AppDomain Manager

Подобно на стандартното странично зареждане на DLL, AppDomainManager Injection също включва използването на DLL файлове за постигане на злонамерени цели в пробитите системи.

При AppDomainManager Injection обаче се използва класът AppDomainManager на .NET Framework за инжектиране и изпълнение на злонамерен код, което го прави по-скрит и универсален.

Нападателят подготвя злонамерен DLL, който съдържа клас, наследяващ класа AppDomainManager, и конфигурационен файл (exe.config), който пренасочва зареждането на легитимно асембли към злонамерения DLL.

Нападателят трябва само да постави злонамерения DLL и конфигурационния файл в същата директория като целевия изпълним файл, без да е необходимо да съвпада с името на съществуващ DLL, както при страничното зареждане на DLL.

Когато .NET приложението се стартира, злонамереният DLL се зарежда и неговият код се изпълнява в контекста на легитимното приложение.

За разлика от страничното зареждане на DLL, което по-лесно може да бъде открито от софтуера за сигурност, инжектирането на AppDomainManager е по-трудно за откриване, тъй като зловредното поведение изглежда, че идва от легитимен, подписан изпълним файл.

Атаки на GrimResource

Атаките, наблюдавани от NTT, започват с доставката на ZIP архив до целта, който съдържа злонамерен MSC (Microsoft Script Component) файл.

Когато мишената отвори файла, зловредният код се изпълнява незабавно без по-нататъшно взаимодействие с потребителя или кликвания, като се използва техника, наречена GrimResource, описана подробно от екипа по сигурността на Elastic през юни.

GrimResource е нова техника за атака, която се възползва от уязвимост на cross-site scripting (XSS) в библиотеката apds.dll на Windows, за да изпълни произволен код чрез Microsoft Management Console (MMC), използвайки специално създадени MSC файлове.

Техниката позволява на атакуващите да изпълняват злонамерен JavaScript, който от своя страна може да стартира .NET код, използвайки метода DotNetToJScript.

Файлът MSC в последните атаки, наблюдавани от NTT, създава файл exe.config в същата директория като легитимен, подписан изпълним файл на Microsoft (напр. oncesvc.exe).

Този конфигурационен файл пренасочва зареждането на определени асемблита към злонамерен DLL, който съдържа клас, наследяващ класа AppDomainManager на .NET Framework, и се зарежда вместо легитимното асембли.

В крайна сметка този DLL изпълнява зловреден код в контекста на легитимния и подписан изпълним файл на Microsoft, като напълно избягва откриването и заобикаля мерките за сигурност.

Последният етап на атаката е зареждането на CobaltStrike beacon на машината, който нападателят може да използва за извършване на широк спектър от злонамерени действия, включително въвеждане на допълнителни полезни товари и странично движение.

Въпреки че не е сигурно, че APT41 е отговорна за атаките, комбинацията от техниките AppDomainManager Injection и GrimResource показва, че нападателите имат технически опит за смесване на нови и по-малко известни техники в практически случаи.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!