ESCU Alert - MSDT Follina Analysis

چرا این هشدار صادر می‌شود؟

این قانون اجرای ابزار عیب‌یابی مایکروسافت (Microsoft Support Diagnostic Tool) یا همان msdt.exe را با پارامترهای مشکوک شناسایی می‌کند. این رفتار مشخصه اصلی آسیب‌پذیری معروف به Follina (CVE-2022-30190) است. مهاجمان با استفاده از پروتکل ms-msdt: و تزریق دستورات از طریق پارامترهای IT_BrowseForFile یا IT_RebrowseForFile، می‌توانند کد دلخواه خود (معمولاً PowerShell) را حتی از طریق فایل‌های ورد یا لینک‌های وب اجرا کنند. این آسیب‌پذیری بسیار خطرناک است زیرا می‌تواند بدون باز کردن کامل فایل و تنها از طریق پیش‌نمایش (Preview Pane) نیز فعال شود.

Process: msdt.exe
Arguments: /id PCWDiagnostic, IT_BrowseForFile
Protocol: ms-msdt:
Technique: Exploitation for Client Execution (T1203)

هدف نهایی مهاجم، دور زدن کنترل‌های امنیتی و اجرای کد با سطح دسترسی کاربری است که فایل را باز کرده است.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

اجرا توسط آفیس: اگر فرآیند والد msdt.exe برنامه‌هایی مانند winword.exe، excel.exe یا outlook.exe باشد، حمله قطعی است.
تزریق دستورات شل: مشاهده کاراکترهای خاص یا دستورات PowerShell در پارامتر IT_BrowseForFile (مانند $(...)).
اجرای فایل‌های HTML/XML: فراخوانی msdt برای پردازش فایل‌های موقت HTML که حاوی کد اکسپلویت هستند.

سناریوهای متوسط

اجرا از طریق مرورگر: فراخوانی پروتکل ms-msdt: از طریق مرورگرهایی مانند Chrome یا Edge (ممکن است کاربر روی لینک مخرب کلیک کرده باشد).
مسیرهای غیرمعمول: اجرای ابزار از مسیرهایی غیر از System32.

سناریوهای کم‌خطر (مثبت کاذب)

عیب‌یابی قانونی: استفاده واقعی کاربر یا تیم پشتیبانی از ابزارهای عیب‌یابی ویندوز (مانند Troubleshooters) که به طور طبیعی msdt.exe را اجرا می‌کنند (معمولاً آرگومان‌های مخرب ندارند).

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: وجود آرگومان PCWDiagnostic همراه با مسیر فایل یا دستورات طولانی در پارامترهای Browse، به خصوص اگر والد آن نرم‌افزار آفیس باشد.

فرآیند والد: والد msdt.exe چیست؟ (Office = بسیار خطرناک، Explorer = نیاز به بررسی، Services = احتمالا امن).
دستور کامل: خط فرمان را بررسی کنید. آیا تلاشی برای دانلود فایل (مانند wget یا curl) یا اجرای powershell در آن دیده می‌شود؟
اتصالات شبکه: آیا همزمان با اجرای این دستور، ارتباطی با دامنه‌های ناشناس برقرار شده است؟ (بدافزار Follina معمولاً یک فایل HTML راه دور را بارگیری می‌کند).
فرزندان msdt: آیا msdt فرآیند دیگری مانند sdiagnhost.exe یا csc.exe را اجرا کرده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process Creation)
Windows Security Event 4688

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌ها در Splunk، این فیلدها حیاتی هستند:

process_name (msdt.exe)

process (Command Line Args)

parent_process_name

user

dest

parent_process_id