GrimResource：无害的 MSC 文件已成为 Windows 中的特洛伊木马

在 Office 中禁用宏又导致了另一次偷偷摸摸的黑客攻击。

Elastic Security Labs 发现了一种名为 GrimResource 的新 Windows 黑客技术，该技术涉及使用特制的 MSC（Microsoft Saved Console）文件与 Windows 中未修补的 XSS 漏洞相结合，通过 Microsoft 管理控制台 (MMC) 执行代码。 Elastic 分享了 GrimResource 攻击的视频演示。

弹性安全实验室 显示 MSC XSS 视频演示

MSC 文件在 MMC 中用于控制操作系统的各个方面或创建常用工具的自定义视图。

2024年6月6日，VirusTotal平台上发现了使用GrimResource技术的文件“sccm-updater.msc”，表明该技术正在被积极使用。不幸的是，没有任何防病毒软件将该文件标记为恶意文件。

尚未标记文件

VirusTotal 扫描结果

扫描结果 病毒总数

网络犯罪分子使用此技术来最初访问网络并执行各种命令。专家证实，尽管 Windows 11 中的 XSS 漏洞早在 2018 年就被发现，但仍未得到修复。

攻击从恶意 MSC 文件开始，该文件试图利用“apds.dll”库中的 XSS 漏洞，允许通过 URL 执行 JavaScript。 GrimResource 的策略将 XSS 漏洞与 DotNetToJScript 方法相结合，通过 JavaScript 引擎执行任意 .NET 代码，绕过安全措施。

库“apds.dll”中的 XSS 漏洞， DotNetToJScript,

相关示例使用混淆来逃避 ActiveX 警告，并且 JavaScript 代码激活 VBScript 来加载检索 Cobalt Strike 有效负载的“PASTALOADER”.NET 组件。

已发布 在 Office 中默认禁用宏 增加了