概述
奇安信威胁情报中心和猎鹰运营团队在日常运营过程中观察到在2024年6月份时多个境外友商发布与GrimResource[1]新型攻击技术有关的在野攻击活动,我们第一时间对该技术进行了研究并持续进行监控,于2024年7月中旬在政企终端中发现第一例攻击事件,攻击性质我们定性为黑产。通过SEO的方式仿冒chrome浏览器下载站:
GrimResource技术利用mmc系统文件中的XSS漏洞执行js代码,并通过DotNetToJScript的方式内存加载任意.net程序,不仅可以绕过ActiveX控件告警,还能实现无文件落地的payload执行,可以预见在未来的一段时间内,MSC样式的鱼叉邮件将会替代lnk、offcie宏文档等成为攻击者最常用的钓鱼诱饵。建议政企客户不要在非官方网站上下载软件安装包,我们将会详细披露MSC诱饵的攻击链,以便客户进行自查。
技术细节
攻击者设计了一套非常复杂的执行链:
在最原始的msc文件中,攻击者将js代码进行了混淆
ob解混淆后发现攻击者最底层使用了jsjiami.com.v7的加密库
最终请求154.91.65.103/0day.js下载第二阶段经过复杂混淆的js代码,解混淆后的内容主要是加载154.91.65.103/0day.xsl,内容如下:
反序列化执行base64加密后的.net下载者,DLL名为:TestAssembly.dll,带有PDB:
主要功能为下载bandzip组件、python组件、code.zip、autokey组件等。
给autokey组件的白进程wd.exe创建计划任务,启动后会加载同目录下的wd.ahk脚本。
AHK脚本的主要功能为,通过bandzip组件解压缩code.zip,解压密码为403team。
接着调用python环境组件启动code.py,内容如下:
Python的功能同样为下载者,从远程服务器(http://comc0m.com/huiyuan/154.91.65.103.bin)下载shellcode并内存加载,我们将该shellcode命名为codemark downloader。请求C2服务器154.91.65.103的1688端口获取加密payload
对payload解密后为最终的codemark Rat,导出函数如下:
该木马曾经被友商披露过[2],回连域名:yk.ggdy.com
除此之外TestAssembly.dll还启动了powershell执行远程PS脚本(154.91.65.103/ps1.txt),最终加载商业远控winos。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5:
5fec1fcbf0f18242ce916d3804609247
2efe2018512d2d5b992f3f4f97700159
876eec74a94445853d0a636c7490de88
bdb0d1b2ce0bd70886ee8c38041df760
62ba097fe395aad042780d7e050189d6
1a226a738f2ed795a4f9bd5b99b60061
C2:
154.91.65.103:1688
154.91.65.103:80
hxxp://comc0m.com/huiyuan/154.91.65.103.bin
154.91.65.103:80
参考链接
[2].https://www.bilibili.com/read/cv25135288/
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
