CVE-2025-26633:Water Gamayun如何利用MSC EvilTwin武器化MUIPath
Trend Research发现俄罗斯威胁组织Water Gamayun利用Microsoft管理控制台(MMC)框架中的零日漏洞执行恶意代码,该技术被命名为MSC EvilTwin(CVE-2025-26633)。
在此攻击中,威胁行为者操纵.msc文件和多语言用户界面路径(MUIPath)来下载和执行恶意负载,维持持久性并从受感染系统窃取敏感数据。
此类威胁可能对企业造成重大影响,导致数据泄露和重大财务损失。各种企业,特别是那些大量使用Microsoft管理工具的企业,可能成为此攻击活动的受害者。
Microsoft和Trend Zero Day Initiative™(ZDI)漏洞赏金计划合作披露了此漏洞,并快速发布了修复补丁。Trend Vision One™ - 网络安全为Trend Micro客户提供TippingPoint入侵防御过滤器,以防范此威胁。
技术细节分析
Microsoft管理控制台和Microsoft控制台文件
Microsoft管理控制台(MMC)是一个提供图形用户界面(GUI)和编程框架的应用程序,用于创建、保存和访问管理工具集合(称为控制台),用于管理各种Windows硬件、软件和网络组件。这些称为管理单元的管理工具是链接到Microsoft控制台文件的COM对象。
单个.msc文件可以包含对多个管理单元的引用(图3)。这些文件可编写脚本,允许用户创建、修改和使用它们来打开具有预定义工具和配置的MMC。
Water Gamayun使用的技术
在其攻击中,Water Gamayun滥用三种技术通过Windows MSC文件在受感染系统上执行恶意负载:
1. MSC EvilTwin (CVE-2025-26633)
此技术涉及通过合法的.msc文件执行恶意的.msc文件。在此类攻击中,特洛伊木马加载程序在系统上创建两个同名的.msc文件:一个文件是干净的,看起来合法且没有可疑元素;另一个是恶意版本,放置在相同位置但位于名为en-US的目录中。当干净的.msc文件运行时,mmc.exe加载恶意文件而不是原始文件并执行。
在这种情况下,攻击者滥用mmc.exe的多语言用户界面路径(MUIPath)功能。默认系统语言 - 英语(美国) - 的MUIPath通常配置为包含MUI文件(.mui),这些文件设计用于存储应用程序的特定语言资源。
通过滥用mmc.exe使用MUIPath的方式,攻击者可以在MUIPath en-US中配备恶意的.msc文件,导致mmc.exe加载此恶意文件而不是原始文件并在受害者不知情的情况下执行。
2. 通过MSC文件Web渲染执行shell命令
第二种技术通过MMC View对象的ExecuteShellCommand方法在受害者机器上执行命令shell。这可以通过利用特制.msc文件和ActiveX控件中的Shockwave Flash对象来实现,默认情况下会打开Web浏览器(图5)。
ExecuteShellCommand方法是MMC View对象的一部分,它在窗口中运行命令(图6)。
在这种情况下,当MMC管理单元托管Microsoft Internet Explorer浏览器组件时,View对象充当外部对象。这意味着可以通过在MMC中显示的HTML页面中嵌入脚本标签来远程访问MMC的view对象方法。
3. 模拟受信任目录方法
第三种方法涉及通过在其名称中添加尾随空格或特殊字符来创建看起来类似于标准系统路径的模拟目录。当应用程序的路径验证逻辑在字符串比较期间未正确处理空白时,它可能将修改后的目录解释为等同于真正的系统路径。
MSC EvilTwin特洛伊木马加载程序
MSC EvilTwin加载程序是一个用PowerShell编写的特洛伊木马加载程序,利用上述所有技术在受损系统上下载和执行恶意负载(图9)。我们的分析表明,攻击始于数字签名的MSI文件,伪装成流行的中文软件如钉钉或QQTalk。
加载程序包含两个Base64编码的blob,称为$originalConsole和$hackedConsole。这些是.msc文件。originalConsole变量存储合法的非恶意.msc文件,而hackedConsole包含具有攻击者C&C服务器地址的恶意制作.msc文件。
加载程序首先创建两个目录:C:\Windows \System32和C:\Windows \System32\en-US,这些目录看起来类似于Windows系统上的合法WmiMgmt.msc路径(图10)。然后加载程序解码并写入.msc文件的内容。
恶意软件然后执行位于C:\Windows\System32\WmiMgmt.msc的非恶意WmiMgmt.msc。这会触发EvilTwin技术,导致mmc.exe从MUI路径en-US加载并执行WmiMgmt.msc。此文件在StringTable部分包含攻击者的C&C服务器URL。
这导致具有ActiveX Control管理单元的mmc.exe加载Microsoft的Internet Explorer浏览器组件,并在mmc.exe中加载URL的HTML内容以进行渲染和显示。在这种情况下,攻击者在恶意HTML页面中的脚本标签内嵌入了external.ExecuteShellCommand方法(图11),这导致MMC在受害者机器上执行给定命令。
趋势科技保护措施
趋势科技为CVE-2025-26633提供以下保护:
Trend Vision One™ - 网络安全
- TippingPoint入侵防御过滤器
- 45359: TCP: Backdoor.Shell.DarkWisp.A运行时检测
- 45360: HTTP: Trojan.Shell.EncryptHubStealer.B运行时检测
- 45361: HTTP: Backdoor.Shell.SilentPrism.A运行时检测
- 45594: HTTP: Trojan.Shell.EncryptHubStealer.B运行时检测(通知请求)
- 45595: HTTP: Trojan.Shell.MSCEvilTwin.A运行时检测(负载 - 服务器响应)
Trend Vision One威胁情报 客户可以访问一系列情报报告和威胁洞察,以保持对不断演变的威胁的领先地位。
狩猎查询
趋势Vision One客户可以使用搜索应用程序来匹配或狩猎本博客文章中提到的恶意指标:
监控与可疑C&C IP的网络连接:
|
|
查找从异常路径执行.msc文件的进程(mmc.exe):
|
|
更多狩猎查询可供具有威胁洞察权限的趋势Vision One客户使用。