优发国际网站官网

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

优发国际网站官网ADLab：MSC文件的在野使用情形与黑客攻击运动剖析

宣布时间 2024-09-14

一、背景

2024年6月22日，一个使用MSC名堂的新型攻击手艺的恶意样本泛起在VT平台上，此时使用这种手艺的恶意样本在VT上均显示为零检测率。这种手艺被Elastic研究团队命名为“GrimResource”，其通过恶意构建的MSC文件在Microsoft治理控制台中执行恣意代码。优发国际网站官网ADLab在以后的两个月时间中，一连关注使用这种使用手法的攻击，通过监测的效果剖析发明：自该手艺果真后，同类攻击迅速增添，到现在为止能够监测到的有用攻击及其攻击样本有100多起。并且有越来越多的APT组织、黑产团伙和红队使用该手艺在全球规模内举行网络攻击，包括Kimusuky、银狐、海莲花等。现在已发明的目的有中国、韩国、越南、蒙古等国家的政府机构和企业，涉及政府、科技、教育、石油等敏感行业。

这些攻击普遍通过MSC文件作为恶意payload，通过种种方法发送给目的并诱使目的翻开该文件。由于MSC名堂的攻击文件是一种相对有数的文件类型（大都被攻击者可能熟悉.exe、.doc等常见的可执行文件扩展名，但并不相识.msc文件，因此可能在现实攻击中爆发奇效），并且现在防护系统也鲜有对此类文件的针对性检测，以是黑客使用该手艺实现攻击的乐成率高，被检测和发明的几率低，就现在我们视察到攻击诱饵，有包括如：“《**论坛》外审专家约请函与文章评审单”、：“匿名审稿专家回执 (校外) ”、“适用于南海的两种执法制度研究 (稿件)”、“美国战略缩短对中东地缘政治的影响”、“****网络大会”等极具引诱性的攻击，一旦点击其中的MSC文件，其系统便会被植入窃密木马，导致主要敏感数据被窃取。

通过我们对攻击的追溯发明早在2024年4月，Kimusuky APT组织就最先使用MSC文件来对其目的实验了大宗的攻击，但其使用手法与GrimResource手艺有所差别。由于MSC样本的果真使用和手艺演变尚处于生长初期，因此有关攻击样本和手法的转变值得引起一连关注。别的，Outflank于8月13日发文称GrimResource手艺源于其武器库，其在攻防演练中被防守方上传到公共沙箱。

MSC(Microsoft Snap-In Control)文件，是微软治理控制台(MMC)用来添加/删除的嵌入式治理单位文件, 由于此类文件能够执行下令和剧本，因此攻击者能够借助MSC文件在目的系统上执行种种恶意使命。自微软默认限制来自互联网的Office宏文档后，LNK、MSI、ISO等其他类型的恶意使用数目就最先大幅增添，此次新泛起的GrimResource手艺也理所虽然成为了黑客们的新宠，相关MSC样本数目自4月以来呈高速增添态势。因此，优发国际网站官网ADLab针对近期捕获到的MSC样本举行了深入的剖析，本文将主要先容现在MSC文件在野使用手艺的相关原理，披露近期使用MSC文件的多起攻击运动，并重点针对其中的两个案例举行深入剖析。

二、近期在野攻击运动剖析

通过对现在网络到的100余个MSC样本的剖析，我们发明最早的使用样本泛起在2024年4月5日，所有样本中，泛起在4-5月的攻击样本主要属于Kimusuky组织。6月后，随着GrimResource手艺的果真，MSC名堂的样本数目以月为单位呈显着的递增关系，批注黑客们正起劲使用和测试相关攻击手艺并转化为现实攻击。以下是近几个月捕获到的MSC名堂的攻击样本数目图。

图片1.png

图1 MSC攻击样本数目统计图（单位:月）

在这批攻击样本中，其中一些是基于开源项目编译的样本（如下图中图标为“眼睛”的样本即为开源项目MSC_Dropper天生），这类样本可能是部分攻击者正在起劲地举行手艺准备和免杀测试。同时，一些真实的攻击运动也越来越频仍地泛起，在现实攻击中样本通�；岚淹急晡弊俺蒞ORD、PDF、MP4等种种常见的文件名堂用以疑惑受害目的，下图是部分样本及图标示例。

图片2.png

图2 捕获MSC样本示例

从中我们发明了数起针对全球多个国家和地区的攻击运动，目的主要包括中国、韩国、越南、蒙古等，攻击的目的行业则涉及政府、科技、教育、石油等敏感行业。其中，针对中国的APT攻击运动在近期最先显着增多。在7月初期，有关攻击主要以“易翻译助手”、”抖音千粉企业号”、“教育行业数据”等为诱饵的黑产组织攻击为主。而在8月之后，最先陆续泛起了多起以政治议题、专家约请、聚会日程、投诉建议、举报质料等针对政府组织或科研部分的针对性攻击，需要引起高度小心，部分诱饵文档如下所示。

图片3.png

图3 主题为“专家约请函”类的诱饵文档

图片4.png

图4 主题为“政策制度研究”类的诱饵文档

图片5.png

图5 主题为“****网络大会”的诱饵文档

图片6.png

图6 针对水利署的诱饵文档

除了针对中国以外，韩国、越南、蒙古等多国也接连遭遇到使用MSC文件的攻击运动，其中尤以韩国遭受的攻击最多，这可能与kimsuky组织的攻击目的倾向有关，部分攻击运动诱饵如下所示。

图片7.png

图7 针对韩国的诱饵文档

图片8.png

图8 针对越南石油公司的诱饵文档

在针对这批样本举行深入剖析后，我们发明了攻击者使用的多个基础设施，包括多阶段下载服务器和C2服务器等，其中大部分都接纳了云服务来滋扰溯源追踪，其中一些服务器归属于美国、日本、瑞典、法国、新加坡等国家。部分样本及C2服务器如下所示。

表1 恶意服务器地点

表1-1.png

表1-2.png

同时，我们也捕获到了部分样本的投递URL地点如下表所示。

表2 样本投递URL

表2-1.png

表2-2.png

三、MSC文件使用手艺原理剖析

MSC(Microsoft Snap-In Control)文件，是微软治理控制台(MMC)用来添加/删除的嵌入式治理单位文件, 治理员通过建设控制台可以治理盘算机的种种设置，添加种种功效如用户账户治理、系统服务、装备驱动程序等，然后可以将这些治理单位的自界说设置以XML的形式生涯到磁盘上，即MSC名堂。Windows中常见的装备治理器、磁盘治理器、组战略治理器等都是MSC名堂文件。如下图是自界说MSC文件的治理单位使命板界面，攻击者可以通过编程的方法与MMC举行交互，从而结构自界说的界面和内容。

图片9.png

图9 MSC文件治理单位使命板

我们在进一步针对这批样天职析后，发明现在MSC名堂文件的在野使用方法主要有两种。在受害者默认开启用户账户控制（UAC）的情形下，第一种使用方法需要与受害者交互两次（主要由Kimusuky组织使用）；另一种只需交互一次(GrimResource手艺)，相关手艺使用流程图如下所示。

图片10.png

图10 MSC文件手艺使用流程图

使用方法一：在受害者翻开MSC文件后，首先弹出UAC控制选项，若是选择是，则继续弹出攻击者定制的Microsoft治理控制台界面诱导目的，一旦受害者继续点击open翻开文档即会中招，执行cmd下令、powershell剧本等后续使用阶段。

图片11.png

图11 使用方法一

关于此类样本，攻击者通过编辑MSC文件的界面伪造UI外观，从而诱骗受害者点击控制台使命板上的链接，而不会爆发嫌疑。这种使用方法借助了MMC中的控制台使命板实验攻击，控制台使命板是在MMC1.2中引入的，攻击者可以借助控制台使命板来执行种种使命，例如翻开属性页、执行菜单下令、运行下令行和翻开网页等，现在主要发明Kimsuky组织在大宗使用此类攻击方法，相关使用样本的最早泛起时间是在今年4月5日，使用示例如下图所示。

图片12.png

图12 控制台使命板执行恣意下令示例

图片13.png

图13 使命板执行恣意下令XML

使用方法二：GrimResource手艺，该手艺使用apds.dll中的XSS误差，通过MSC文件的StringTable部分引用易受攻击的APDS资源，从而实现嵌入在MSC文件中的JS代码恣意执行，最后执行XML中的剧本代码。相较于使用方法一，其具有最少的清静忠言，无疑能够使得攻击的乐成率大大提高。同时，关于许多为了利便而默认作废UAC通知的受害者来说更是能抵达无交互即可执行的效果。

手艺使用要害点：

将ActiveX工具加载到“ActiveX控件”治理单位中。
将HTML文件加载到“链接到Web地点”治理单位中。
在HTML文件中，使用JavaScript与加载的ActiveX工具举行交互。并通过 MSXML要领，触发XSL转换来执行JScript代码。
最后从JScript代码中挪用系统函数，或者通过 DotNetToJScript 执行.NET代码。

首先，在MMC程序中，攻击者可以自界说插入ActiveX控件。通过文件编辑器翻开建设的MSC文件时，可以看到建设的ActiveX控件存储在XML的StringTable中。

图片14.png

图14 插入ActiveX控件工具

但若是想乐成加载工具，就要绕过ActiveX 控件的清静忠言。攻击者接纳了一种巧妙的要领，通过Microsoft Internet Explorer浏览器组件会见external 工具，从而与MMC控制台的其他元素举行交互，这是微软官方支持的一种方法。如下图中，scopeNamespace和docObject即是通过external.Document获取现有工具，而非建设新的ActiveX工具，进而绕过了直接建设ActiveX控件时的清静限制。

图片15.png

图15 GrimResource手艺使用代码

同时，攻击者使用了apds.dll的一个XSS误差，从而可以执行Console Root中的Jscript，进而再执行XML中的剧本。这其中还涉及到一个技巧，即使用MSXML（Microsoft.XMLDOM / {2933BF90-7B36-11D2-B20E-00C04F983E60} ）执行XSL文件中嵌入的剧本。

XSLT是一种用于将XML文档转换为其他文档名堂的语言，XSLT样式表（XSL）则界说了怎样将一个XML文档转换为其他形式。微软支持MSXML XSLT使用元素及其属性implements-prefix实现并扩展函数以提供剧本级支持。因此，攻击者通过MSXML的方法即可执行XSL文件中嵌入的剧本，如挪用函数 XML.transformNode(xsl)，即可执行嵌入的剧本及后续的恶意使用�？�，解码剧本中的标签如下图所示。

图片16.png

图16 剧本中的

四、案例剖析

优发国际网站官网ADLab接连捕获到了多起使用MSC文件针对全球目的的攻击运动。其中已发明针对中国、韩国、越南、蒙古等国家的政府机构和企业的攻击，越来越多的APT组织、黑产团伙和红队正在使用相关手艺在全球规模内举行网络攻击，包括Kimusuky、银狐、海莲花等。在诸多的攻击案例中，我们选取了在手艺层面较有代表性且相对敏感的两类攻击样本作为此次的剖析案例，使用GrimResource手艺针对中国的攻击运动，以及Kimsuky组织使用MMC控制台使命板针对韩国的最新攻击运动。下面我们将对选取的两个案例举行深入的剖析。

4.1 以政治话题为诱饵针对中国的攻击运动

此案例使用的是GrimResource手艺，当受害者点击运行msc文件时，mmc.exe会执行样本中的js代码，继而执行嵌入在xml中的VBScript代码。其中，引致VBA代码的执行的要害点是transforNode(xsl)要领的挪用。

图片17.png

图17 引致VBA代码执行的要害点

transforNode要领常用于将一个XML文档通过XSLT样式表（作为参数）转换为其他文档名堂。若是XSLT样式表中含有或元素时，那么元素中的剧本则会在转换历程中被执行。

图片18.png

图18 XSLT样式表内容

被执行的VBScript代码通过自界说编码息争码、字符串拼接、特殊字符混淆编码等混淆手艺，能够有用地隐藏其真实逻辑和恶意行为，同时增添了剖析职员举行逆向剖析的时间本钱。下图展示了在首次解码之后的部分代码块，能够看到代码中依然保存着其他混淆。

图片19.png

图19 混淆的VBScript代码

我们继续对代码举行去混淆以及函数重命名处置惩罚后，可以看到剧本先是设置文件路径和目录结构，再从XML结构中提取数据举行base64解码并生涯为指定文件（诱饵文档），最后翻开该文件。

图片20.png

图20 释放诱饵文档

在本案例中，用于疑惑受害者的是三个伪装成Word的诱饵MSC文件，详细内容如下图所示。

图片21.png

图21 诱饵文档示例一

图片22.png

图22 诱饵文档示例二

图片23.png

图23 诱饵文档示例三

接着提取息争码其他base64数据，再将解码后的数据生涯为最终的Warp.exe和7z.dll可执行文件。随后将“ t 8.8.8.8”作为参数（自动加载同目录下“7z.dll”的所需条件）启动Warp.exe程序。

图片24.png

图24 天生并执行warp.exe程序

经审查，“Warp.exe”具有 “Lenovo (Beijing) Co., Ltd.”的正当数字署名，其原文件名为“7zwrap.exe”。详细信息如下图所示。

图片25.png

图25 “Warp.exe”详细信息

当恶意“7z.dll”文件被“Wrap.exe”乐成加载后，其会在内存中对指定命据举行解密。经内存特征扫描后，判断最终被加载执行的是CobaltStrike，我们提取出的CS设置信息如下图所示。

图片26.png

图26 CS设置信息

4.2 以学术演讲为诱饵针对韩国的攻击运动

该案例是Kimsuky APT黑客组织在今年所引入的一种新的攻击战略，攻击者通过XML的设置属性将MSC恶意文件的图标设置为Word图标，借以伪装成WORD文档来疑惑受害者。

图片27.png

图27 伪装的Word图标

当受害者点击MSC文件时，用户账户控制（UAC）会弹出请求权限选择，若是选[是]，则会通过执行msc毗连程序mmc.exe，展示攻击者定制的名为“?????.docx”的Microsoft治理控制台界面。详细如下图所示。

图片28.png

图28 “?????.docx”的Microsoft治理控制台界面

代码中包括一段cmd参数下令行，其中使用了三个网页浏览器可识别的HTML特殊符号，其所对应的剖析内容如下表所示。

表3 特殊符号内容剖析

表3.png

图片29.png

图29 含有特殊符号的cmd参数下令行内容

通过该符号所对应的剖析举行替换后，获得了如下图所示的批处置惩罚下令。该串批处置惩罚下令则是执行MSC后的治理控制台根使命窗口的下令行参数。该段下令的主要功效是从指定URL下载名为“Grieco Kavanagh Passive Supporters.docx”的用于伪装的诱饵文档，以及后续阶段的“pest.exe”和“pest.exe.manifest”文件。除此之外，其还会建设一个名为“TemporaryClearStatesesf”的妄想使命，每58分钟执行一次“%appdata%\pest.exe”文件。内容如下图所示。

图片30.png

图30 cmd参数下令行内容

审查“pest.exe”程序详细信息，发明该程序的数字署名名称为“Adersoft”，原始文件名为“launcher.exe”。该程序为VBSEdit（由Adersoft公司出品的一款小巧而强悍的VBScript编辑工具）剧本启动器。

图片31.png

图31 “pest.exe”程序详细信息

在“pest.exe”程序启动时，会默认加载“pest.exe.manifest”文件，. manifest文件是Windows应用程序清单文件的一部分，常用于指定应用程序的运行时条件和情形变量等。攻击者使用此程序的运行机制将恶意代码写入至清单文件中，那么当“pest.exe”程序运行时恶意代码便可被自动加载执行。

图片32.png

图32 “pest.exe”程序执行报错

“pest.exe.manifest”文件内容是XML名堂，恶意代码包括在“”标签之间。该文件的主要功效是由一段经base64编码的VBScript代码来实现。部分代码如下图所示。

图片33.png

图33 base64编码的VBScript代码

解码后我们可以看到，恶意代码首先会判断"%appdata%\ Microsoft \"目录下是否保存“sim.sid”文件。若保存且小于9字节，则删除该文件并退出剧本；不然，将“sim.sid”移动至”%appdata%\Microsoft\sif.bat"并运行bat文件，执行完成后删除自身文件。

图片34.png

图34 bat文件操作代码

若是“sim.sid”文件不保存，则向指定的Google drive链接发送HTTP请求，并获取响应内容。

图片35.png

图35 向Google drive共享链接发送请求

乐成获取后，从吸收到的内容中提取base64编码的数据（在"pprbstart--"和"--pprbend"标签之间），最后替换特殊字符并将解码后的数据写入至”%appdata%\Microsoft\sif.bat"。

图片36.png

图36 剖析响应内容

阻止剖析时该Google drive共享链接已失效，暂时无法获取到后续阶段的攻击样本，剖析至此竣事。

五、总结

本文针对我们近期捕获到的一系列基于新型MSC文件的攻击运动举行了剖析，重点先容了现在MSC文件在野使用的两种使用手艺原理，披露近期使用MSC文件的多起敏感攻击运动，并针对其中的两个案例举行了深入剖析。从近几个月MSC文件相关攻击的活跃趋势来看，攻击运动涉及到越来越多的APT组织、黑产组织以及红队等，尤其是近期针对政治、科技、教育、石油等领域的APT攻击最先显著增多，需要引起相关政企和小我私家用户的重点关注。

同时，MSC文件的果真使用和手艺演变尚处于生长初期，只管现在只是发明了两种在野使用方法，但MMC自己保存不少清静隐患，未来随着更多攻防研究职员的深入挖掘，可能会泛起更多基于MSC或是其它Windows组件的新型恶意使用手艺，优发国际网站官网ADLab也将一连追踪相关手艺的生长演进，实时披露有关威胁运动。

优发国际网站官网起劲防御实验室（ADLab）

ADLab建设于1999年，是中国清静行业最早建设的攻防手艺研究实验室之一，微软MAPP妄想焦点成员，“黑雀攻击”看法首推者。阻止现在，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差5000余个，一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖基础清静研究、数据清静研究、5G清静研究、人工智能清静研究、移动清静研究、物联网清静研究、车联网清静研究、工控清静研究、信创清静研究、云清静研究、无线清静研究、高级威胁研究、攻防系统建设。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号