حملات جدیدی که از تابستان ۲۰۲۴ شروع شدهاند، از تکنیک AppDomain Manager Injection استفاده میکنند که به مهاجمان امکان میدهد برنامههای .NET را در ویندوز به ابزارهای مخرب تبدیل کنند.
این تکنیک از سال ۲۰۱۷ وجود داشته و طی سالها چندین PoC برای آن منتشر شده است. با این حال، معمولاً در فعالیتهای تیمهای قرمز (red team) استفاده میشود و به ندرت در حملات مخرب مشاهده شده است، به طوری که مدافعان به طور فعال آن را تحت نظر ندارند.
واحد ژاپنی NTT حملات سایبری را دنبال کرده که با استفاده از ابزار CobaltStrike به سازمانهای مختلف در کشورهای آسیایی اشاره شده، هدف قرار گرفتهاند.
با توجه به گزارش های اخیر شرکت AhnLab ، به نظر میرسد که گروه APT 41 مسئول حملات است، اما اعتماد به این نسبتدادن کم است و هنوز ممکن است اشتباه باشد.
تکنیک AppDomain Manager Injection
تکنیک AppDomainManager Injection، مانند بارگذاری جانبی استاندارد DLL، شامل استفاده از فایلهای DLL است و هدف آن انجام فعالیتهای مخرب بر روی سیستمهای هدف قرار گرفته است.
تکنیک AppDomainManager Injection با استفاده از کلاس خاصی در فریمورک .NET، به طور مؤثرتر و کمتر قابل شناسایی، کدهای مخرب را تزریق و اجرا میکند.
مهاجم یک DLL مخرب ایجاد میکند که با استفاده از یک فایل پیکربندی خاص، بارگذاری یک اسمبلی قانونی را به DLL مخرب هدایت میکند.
در این تکنیک، مهاجم میتواند فایلهای مخرب را در همان پوشه با فایل اجرایی هدف قرار دهد بدون اینکه لازم باشد نام فایل DLL مخرب با نام DLLهای موجود در سیستم هدف مطابقت داشته باشد، برخلاف تکنیکهای دیگر مانند بارگذاری جانبی DLL
وقتی برنامه .NET اجرا میشود، DLL مخرب به عنوان بخشی از آن برنامه بارگذاری شده و کد مخرب آن در همان محیط برنامه قانونی اجرا میشود، که به مهاجم اجازه میدهد بدون شناسایی شدن به فعالیتهای مخرب بپردازد.
برخلاف بارگذاری جانبی DLL که میتواند بهراحتی توسط نرمافزارهای امنیتی شناسایی شود، تزریق AppDomainManager سختتر شناسایی میشود زیرا رفتار مخرب به نظر میرسد که از یک فایل اجرایی قانونی و امضا شده ناشی میشود.
حملات GrimResource
حملاتی که توسط NTT مشاهده شده است با ارسال یک فایل فشرده ZIP به هدف آغاز میشود که شامل یک فایل مخرب MSC (Microsoft Script Component) است.
در این حملات، کد مخرب به محض باز شدن فایل توسط هدف، بدون نیاز به تعامل اضافی از سوی کاربر، اجرا میشود و از تکنیک GrimResource برای انجام این کار استفاده میشود. تیم امنیتی Elastic در ماه ژوئن توضیحات مفصلی در مورد این تکنیک ارائه داده است.
GrimResource یک تکنیک حمله جدید است که از آسیبپذیری XSS در کتابخانه apds.dll ویندوز بهرهبرداری میکند تا کد دلخواه را از طریق کنسول مدیریت مایکروسافت (MMC) با استفاده از فایلهای MSC به طور خاص طراحی شده، اجرا کند.
با استفاده از این تکنیک، مهاجمان قادر به اجرای کد جاوااسکریپت مخرب هستند که سپس میتواند کد .NET را با استفاده از روش DotNetToJScript اجرا کند.
در حملات اخیر که توسط NTT مشاهده شده، فایل MSC به طور خاص یک فایل پیکربندی (exe.config) در پوشهای که یک فایل اجرایی قانونی و امضا شده مایکروسافت در آن قرار دارد، ایجاد میکند.
فایل پیکربندی به گونهای تنظیم شده است که بارگذاری اسمبلیهای خاصی را به سمت یک DLL مخرب هدایت میکند که شامل کلاسی خاص از فریمورک .NET است و به جای اسمبلی قانونی بارگذاری میشود.
در نهایت، این DLL کد مخرب را در چارچوب فایل اجرایی قانونی و امضا شده مایکروسافت اجرا میکند، به طور کامل از شناسایی پنهان شده و تدابیر امنیتی را دور میزند.
در مرحله نهایی حمله، مهاجم یک beacon از ابزار CobaltStrike را بر روی دستگاه هدف بارگذاری میکند و از آن برای انجام فعالیتهای مخرب مختلف، از جمله اضافه کردن بارهای اضافی و حرکت افقی در شبکه استفاده میکند.
هرچند هنوز مشخص نیست که آیا گروه APT41 مسئول این حملات است یا خیر، استفاده از تکنیکهای پیشرفته و کمتر شناخته شده نشاندهندهی تخصص فنی بالای مهاجمان در ترکیب این تکنیکها در عمل است.
