Microsoft: новое вредоносное ПО использует ошибку Windows, чтобы скрыть запланированные задачи
ПоСергей Гатлан
- 12 апреля 2022 г.
- 13:18
- 0
Microsoft обнаружила новое вредоносное ПО, используемое поддерживаемой Китаем хакерской группой Hafnium для поддержания устойчивости в скомпрометированных системах Windows путем создания и скрытия запланированных задач.
Группа угроз Hafnium ранее атаковала оборонные компании США, аналитические центры и исследователей в кибершпионских атаках.
Это также одна из спонсируемых государством групп, связанных с прошлогодней глобальной эксплуатацией уязвимостей нулевого дня ProxyLogon, затрагивающих все поддерживаемые версии Microsoft Exchange.
Сохранение через удаление значения реестра Windows
«Поскольку Microsoft продолжает отслеживать высокоприоритетного спонсируемого государством злоумышленника HAFNIUM, была обнаружена новая активность, которая использует неисправленные уязвимости нулевого дня в качестве начальных векторов», — сообщила группа обнаружения и реагирования Microsoft (DART).«Дальнейшее расследование выявляет криминалистические артефакты использования инструментов Impacket для бокового перемещения и выполнения, а также обнаружение вредоносного ПО для уклонения от защиты под названием Tarrask, которое создает «скрытые» запланированные задачи, и последующие действия по удалению атрибутов задачи, чтобы скрыть запланированные задачи от традиционные средства идентификации».
Этот хакерский инструмент, получивший название Tarrask , использует ранее неизвестную ошибку Windows, чтобы скрыть их от «schtasks/query» и планировщика заданий, удалив соответствующий параметр реестра дескриптора безопасности.
Группа угроз использовала эти «скрытые» запланированные задачи для сохранения доступа к взломанным устройствам даже после перезагрузки путем восстановления разорванных соединений с инфраструктурой управления и контроля (C2).
Хотя операторы Hafnium могли бы удалить все артефакты на диске, включая все ключи реестра и XML-файл, добавленный в системную папку, чтобы удалить все следы своей злонамеренной деятельности, это устранило бы сохранение после перезапуска.
Удаление дескриптора безопасности, чтобы скрыть запланированное задание (Microsoft)Как защититься от атак Tarrask
«Скрытые» задачи можно найти только при тщательном ручном просмотре реестра Windows, если вы ищете запланированные задачи без значения SD (дескриптора безопасности) в их ключе задачи.Администраторы также могут включить журналы Security.evtx и Microsoft-Windows-TaskScheduler/Operational.evtx для проверки ключевых событий, связанных с задачами, «скрытыми» с помощью вредоносного ПО Tarrask.
Microsoft также рекомендует включить ведение журнала для TaskOperational в журнале Microsoft-Windows-TaskScheduler/Operational Task Scheduler и отслеживать исходящие подключения от критически важных ресурсов уровня 0 и уровня 1 .
«Субъекты угрозы в этой кампании использовали скрытые запланированные задачи для поддержания доступа к критически важным активам, открытым для Интернета, регулярно восстанавливая исходящие соединения с инфраструктурой C&C», — добавил DART .
«Мы понимаем, что запланированные задачи являются эффективным инструментом для злоумышленников, позволяющим автоматизировать определенные задачи, обеспечивая при этом постоянство, что приводит нас к повышению осведомленности об этой часто упускаемой из виду технике».
