Siber Muhbir

Elastic Security Labs, 6 Haziran 2024'te VirusTotal kötü amaçlı yazılım tarama platformuna yüklenen bir yapıtı ("sccm-updater.msc") tanımladıktan sonra yaklaşımı GrimResource olarak kodladı.

Şirket, yapılan açıklamada, "Kötü amaçlarla oluşturulmuş bir konsol dosyası içe aktarıldığında, MMC kitaplıklarından birindeki bir güvenlik açığı, kötü amaçlı yazılımlar da dahil olmak üzere düşman kodlarının çalıştırılmasına neden olabilir" dedi.

"Saldırganlar, yetkisiz erişime, sistemin ele geçirilmesine ve daha fazlasına yol açabilecek rastgele kod yürütme elde etmek için bu tekniği DotNetToJScript ile birleştirebilir."

Yaygın olmayan dosya türlerinin kötü amaçlı yazılım dağıtım vektörü olarak kullanılması, internetten indirilen Office dosyalarında varsayılan olarak makroların devre dışı bırakılması da dahil olmak üzere, son yıllarda Microsoft tarafından oluşturulan güvenlik korkuluklarını aşmak için saldırganlar tarafından alternatif bir girişim olarak görülüyor.

Geçen ay, Güney Koreli siber güvenlik firması Genians, Kuzey Kore bağlantılı Kimsuky bilgisayar korsanlığı grubu tarafından kötü amaçlı yazılım dağıtmak için kötü amaçlı bir MSC dosyasının kullanımını detaylandırdı.

Öte yandan GrimResource, MMC bağlamında rastgele JavaScript kodu yürütmek için apds.dll kitaplığında bulunan bir siteler arası komut dosyası çalıştırma (XSS) kusurundan yararlanır. XSS kusuru ilk olarak 2018'in sonlarında Microsoft ve Adobe'ye bildirildi, ancak bugüne kadar yamalanmadı.

Bu, MMC kullanılarak açıldığında JavaScript kodunun yürütülmesini tetikleyen kötü amaçlı bir MSC dosyasının StringTable bölümünde güvenlik açığı bulunan APDS kaynağına bir başvuru eklenerek gerçekleştirilir.

Bu teknik yalnızca ActiveX uyarılarını atlamakla kalmaz, aynı zamanda rastgele kod yürütme elde etmek için DotNetToJScript ile birleştirilebilir. Analiz edilen örnek, sonuçta Cobalt Strike'ın önünü açan PASTALOADER adlı bir .NET yükleyici bileşenini başlatmak için bu yaklaşımı kullanır.

Güvenlik araştırmacıları Joe Desimone ve Samir Bousseaden, "Microsoft, internet kaynaklı belgeler için Office makrolarını varsayılan olarak devre dışı bıraktıktan sonra, JavaScript, MSI dosyaları, LNK nesneleri ve ISO'lar gibi diğer enfeksiyon vektörlerinin popülaritesi arttı" dedi.

"Ancak, bu diğer teknikler savunucular tarafından incelenir ve tespit edilme olasılığı yüksektir. Saldırganlar, hazırlanmış MSC dosyalarını kullanarak Microsoft Management Console'da rasgele kod yürütmek için yeni bir teknik geliştirdiler."

Son Durum

Microsoft, bulgular hakkında henüz resmi olarak yorum yapmadı, ancak şirket, Windows'un MSC dosyalarını "potansiyel olarak tehlikeli bir dosya türü" olarak tanıdığını ve Microsoft Defender'ın bu tehdidi işaretlemek için korumaları olduğunu kabul etti.

Ayrıca Akıllı Uygulama Kontrolü'nün bu tür kötü amaçlı dosyaları internetten engellediğini söyledi. Her zaman olduğu gibi, kullanıcıların bilinmeyen kaynaklardan ve gönderenlerden dosya indirmemeleri veya açmamaları önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.