Temmuz 2024'te başlayan bir saldırı dalgası, Windows'taki herhangi bir Microsoft .NET uygulamasını silahlandırabilen AppDomain Manager Enjeksiyon adı verilen daha az yaygın bir tekniğe güveniyor.
Teknik 2017'den beri var ve yıllar içinde birden fazla kavram kanıtı uygulaması yayınlandı. Bununla birlikte, tipik olarak kırmızı takım etkileşimlerinde kullanılır ve nadiren kötü niyetli saldırılarda gözlemlenir ve savunucular onu aktif olarak izlemez.
NTT'nin Japon Bölümü, Tayvan'daki devlet kurumlarını, Filipinler'deki orduyu ve Vietnam'daki enerji örgütlerini hedefleyen bir kobaltstike işaretini kullanan saldırıları izledi.
Taktikler, teknikler ve prosedürler ve son Ahnlab raporları ve diğer kaynaklarla altyapı örtüşüyor, Çin devlet destekli tehdit grubunun APT 41'in saldırıların arkasında olduğunu, ancak bu ilişkilendirmenin düşük bir güvene sahip olduğunu gösteriyor.
Standart DLL yan yüklemeye benzer şekilde, AppDomainManager enjeksiyonu, ihlal edilen sistemlerde kötü niyetli hedeflere ulaşmak için DLL dosyalarının kullanımını da içerir.
Bununla birlikte, AppDomainManager Enjeksiyon, kötü amaçlı kod enjekte etmek ve yürütmek için .NET Framework'ün AppDomainManager sınıfından yararlanır, bu da daha fazla ve daha çok yönlü hale getirir.
Saldırgan, AppDomainManager sınıfından miras alan bir sınıf ve meşru bir montajın kötü amaçlı DLL'ye yüklenmesini yönlendiren bir yapılandırma dosyası (exe.config) içeren kötü niyetli bir DLL hazırlar.
Saldırganın, DLL yan yüklemede olduğu gibi mevcut bir DLL'nin adına eşleşmeye gerek kalmadan, yalnızca kötü amaçlı DLL ve yapılandırma dosyasını hedef yürütülebilir ile aynı dizine yerleştirmesi gerekir.
.NET uygulaması çalıştığında, kötü amaçlı DLL yüklenir ve kodu meşru uygulama bağlamında yürütülür.
Güvenlik yazılımı tarafından daha kolay tespit edilebilen DLL yan yüklemenin aksine, AppDomainManager enjeksiyonunun tespit edilmesi daha zordur, çünkü kötü niyetli davranış meşru, imzalı yürütülebilir bir dosyadan geliyor gibi görünmektedir.
Gözlemlenen saldırılar, kötü amaçlı bir MSC (Microsoft Script bileşeni) dosyası içeren hedefe bir ZIP arşivi verilmesiyle başlar.
Hedef dosyayı açtığında, kötü amaçlı kod, Haziran ayında Elastik'in güvenlik ekibi tarafından ayrıntılı olarak açıklanan Grimresource adlı bir teknik kullanılarak daha fazla kullanıcı etkileşimi veya tıklamalar olmadan hemen yürütülür.
GrimResource, özel hazırlanmış MSC dosyalarını kullanarak Microsoft Yönetim Konsolu (MMC) aracılığıyla keyfi kod yürütmek için APDS.DLL Windows Kütüphanesi'ndeki siteler arası komut dosyası (XSS) güvenlik açığından yararlanan yeni bir saldırı tekniğidir.
Teknik, saldırganların kötü amaçlı JavaScript yürütmesine izin verir, bu da DotnettoJScript yöntemini kullanarak .NET kodunu çalıştırabilir.
NTT tarafından görülen en son saldırılardaki MSC dosyası, meşru, imzalı bir Microsoft yürütülebilir dosyası (örn. Oncesvc.exe) ile aynı dizinde bir exe.config dosyası oluşturur.
Bu yapılandırma dosyası, belirli montajların, .NET Framework'ün AppDomainManager sınıfından miras alan ve meşru montaj yerine yüklenen bir sınıf içeren kötü amaçlı bir DLL'ye yüklenmesini yönlendirir.
Nihayetinde, bu DLL kötü amaçlı kodu meşru ve imzalı Microsoft yürütülebilir, tamamen kaçınan ve güvenlik önlemlerini atlayan bağlamda yürütür.
Saldırının son aşaması, saldırganın ek yükler ve yanal hareket getirilmesi de dahil olmak üzere çok çeşitli kötü niyetli eylemler gerçekleştirmek için kullanabileceği makineye bir kobaltstrike bir işaret yüklemektir.
APT41'in saldırılardan sorumlu olduğundan emin olmasa da, AppDomainManager enjeksiyonu ve Grimresource tekniklerinin kombinasyonu, saldırganların pratik durumlarda yeni ve daha az bilinen teknikleri karıştırmak için teknik uzmanlığa sahip olduklarını göstermektedir.
Yeni Windows 10 22H2 Beta, bellek sızıntılarını ve çökmelerini düzeltir
Bilgisayar korsanları, yeni kötü amaçlı yazılımlarla arka kapı Windows sistemlerine PHP istismarını kullanır
Microsoft, Ekim ayında içeriden gelenlere geri çağırma
Ağustos Windows Güvenlik Güncellemesi Linux Systems'ta çift önyüklemeyi kırıyor
Microsoft, kişisel, çalışma hesapları için Unified Teams uygulamasını başlattı
Kaynak: Bleeping Computer