关于“黑客现在使用AppDomain注入来删除CobaltStrike信标”事件的分析

　　一、基本内容

　　2024年7月开始的一波攻击依赖于一种不太常见的技术，称为AppDomain管理器注入，它可以攻击任何微软。NET应用程序在Windows上运行。

　　该技术自2017年以来一直存在，多年来已经发布了多个概念验证应用程序。然而，它通常用于红队交战，很少在恶性攻击中观察到，防守队员也没有积极监控它。

　　NTT的日本分部追踪了以部署CobaltSteke信标为目标的袭击，该信标针对台湾的政府机构、菲律宾的军队和越南的能源组织。

　　战术、技术和程序以及基础设施与AhnLab最近的报告和其他来源的重叠表明，中国国家支持的威胁组织APT 41是这些攻击的幕后黑手，尽管这种归因的可信度很低。

　　二、AppDomain管理器注入

　　与标准DLL侧加载类似，AppDomainManager注入也涉及使用DLL文件在损坏的系统上实现恶意目标。

　　但是，AppDomainManager注入杠杆。NET Framework的AppDomainManager类用于注入和执行恶意代码，使其更隐蔽、更通用。

　　攻击者准备了一个恶意DLL，其中包含一个从AppDomainManager类继承的类和一个配置文件(exe.config)，该配置文件将合法程序集的加载重定向到恶意DLL。

　　攻击者只需将恶意DLL和配置文件放置在与目标可执行文件相同的目录中，而不需要像DLL侧加载那样匹配现有DLL的名称。

　　当。NET应用程序运行时，加载恶意DLL，并在合法应用程序的上下文中执行其代码。

　　与DLL侧加载不同，安全软件更容易检测到DLL侧加载，AppDomainManager注入更难检测到，因为恶意行为似乎来自合法的、签名的可执行文件。

　　三、GrimResource攻击

　　NTT观察到的攻击始于向目标传递包含恶意MSC(Microsoft脚本组件)文件的ZIP存档。

　　当目标打开文件时，恶意代码会立即执行，无需进一步的用户交互或点击，使用一种名为GrimResource的技术，Elastic的安全团队在6月份对此进行了详细描述。

　　GrimResource是一种新颖的攻击技术，它利用Windows的apds.dll库中的跨站脚本(XSS)漏洞，使用特制的MSC文件通过Microsoft管理控制台(MMC)执行任意代码。

　　该技术允许攻击者执行恶意JavaScript，进而可以运行。NET代码使用DotNetToJScript方法。

　　NTT发现的最新攻击中的MSC文件在与合法的、已签名的Microsoft可执行文件(例如oncesvc.exe)相同的目录中创建了一个exe.config文件。

　　此配置文件将某些程序集的加载重定向到恶意DLL，该DLL包含从.DLL继承的类。NET Framework的AppDomainManager类被加载，而不是合法的程序集。

　　最终，此DLL在合法且已签名的Microsoft可执行文件的上下文中执行恶意代码，完全逃避检测并绕过安全措施。

　　攻击的最后阶段是在机器上加载CobaltStrike信标，攻击者可以使用该信标执行各种恶意操作，包括引入额外的有效载荷和横向移动。

　　四、应对策略

　　为应对近期针对.NET应用程序的复杂攻击，我们将采取多层次的防御策略。首先，我们将加强监控，通过专门的检测规则和行为分析技术，及时识别并阻止异常行为。其次，我们将提高系统防御能力，强化目录权限管理和签名验证，并启用高级内存保护。应急响应计划和定期安全审计也将是我们的重点，以确保快速反应和修复。