新型攻击技术GrimResource通过仿冒网站席卷国内

       GrimResource技术利用mmc系统文件中的XSS漏洞执行js代码，并通过DotNetToJScript的方式内存加载任意.net程序，不仅可以绕过ActiveX控件告警，还能实现无文件落地的payload执行，可以预见在未来的一段时间内，MSC样式的鱼叉邮件将会替代lnk、offcie宏文档等成为攻击者最常用的钓鱼诱饵。建议政企客户不要在非官方网站上下载软件安装包，我们将会详细披露MSC诱饵的攻击链，以便客户进行自查。

       在最原始的msc文件中，攻击者将js代码进行了混淆

ob解混淆后发现攻击者最底层使用了jsjiami.com.v7的加密库

最终请求154.91.65.103/0day.js下载第二阶段经过复杂混淆的js代码，解混淆后的内容主要是加载154.91.65.103/0day.xsl，内容如下：

       反序列化执行base64加密后的.net下载者，DLL名为：TestAssembly.dll，带有PDB：

       主要功能为下载bandzip组件、python组件、code.zip、autokey组件等。

       给autokey组件的白进程wd.exe创建计划任务，启动后会加载同目录下的wd.ahk脚本。

       AHK脚本的主要功能为，通过bandzip组件解压缩code.zip,解压密码为403team。

接着调用python环境组件启动code.py,内容如下：

Python的功能同样为下载者，从远程服务器（http://comc0m.com/huiyuan/154.91.65.103.bin）下载shellcode并内存加载，我们将该shellcode命名为codemark downloader。请求C2服务器154.91.65.103的1688端口获取加密payload

对payload解密后为最终的codemark Rat，导出函数如下：

该木马曾经被友商披露过^[2]，回连域名：yk.ggdy.com

除此之外TestAssembly.dll还启动了powershell执行远程PS脚本（154.91.65.103/ps1.txt），最终加载商业远控winos。 

5fec1fcbf0f18242ce916d3804609247

2efe2018512d2d5b992f3f4f97700159

876eec74a94445853d0a636c7490de88

bdb0d1b2ce0bd70886ee8c38041df760

62ba097fe395aad042780d7e050189d6

1a226a738f2ed795a4f9bd5b99b60061

C2:

154.91.65.103:1688

154.91.65.103:80

hxxp://comc0m.com/huiyuan/154.91.65.103.bin

154.91.65.103:80

[2].https://www.bilibili.com/read/cv25135288/