Microsoft, Çin destekli Hafnium hack grubu tarafından, zamanlanmış görevler oluşturup gizleyerek güvenliği ihlal edilmiş Windows sistemlerinde kalıcılığı korumak için kullanılan yeni bir kötü amaçlı yazılım keşfetti.
bu Hafniyum tehdit grubu daha önce siber casusluk saldırılarında ABD savunma şirketlerini, düşünce kuruluşlarını ve araştırmacıları hedef aldı.
Aynı zamanda, Microsoft tarafından geçen yılki bağlantılara bağlanan devlet destekli gruplardan biridir. ProxyLogon sıfır gün kusurlarından küresel ölçekte yararlanma desteklenen tüm Microsoft Exchange sürümlerini etkiler.
Windows kayıt defteri değerinin kaldırılması yoluyla kalıcılık
Microsoft Algılama ve Yanıt Ekibi (DART), “Microsoft, yüksek öncelikli devlet destekli tehdit aktörü HAFNIUM’u izlemeye devam ederken, ilk vektörler olarak yama uygulanmamış sıfırıncı gün güvenlik açıklarından yararlanan yeni etkinlik ortaya çıkarıldı” dedi.
“Daha fazla araştırma, yanal hareket ve yürütme için Impacket araçlarının kullanımının adli eserlerini ve ‘gizli’ zamanlanmış görevler oluşturan Tarrask adlı bir savunma kaçırma kötü amaçlı yazılımının keşfini ve daha sonra görev niteliklerini kaldırmak, zamanlanmış görevleri başkalarından gizlemek için sonraki eylemleri ortaya koyuyor. geleneksel tanımlama araçları.”
Bu hack aracı, dublajlı Tarraskilişkili Güvenlik Tanımlayıcı kayıt defteri değerini silerek bunları “schtasks /sorgu” ve Görev Zamanlayıcı’dan gizlemek için önceden bilinmeyen bir Windows hatası kullanır.
Tehdit grubu, komuta ve kontrol (C2) altyapısına kesilen bağlantıları yeniden kurarak yeniden başlatıldıktan sonra bile saldırıya uğramış cihazlara erişimi sürdürmek için bu “gizli” zamanlanmış görevleri kullandı.
Hafnium operatörleri, kötü niyetli etkinliklerinin tüm izlerini silmek için sistem klasörüne eklenen tüm kayıt defteri anahtarları ve XML dosyası dahil olmak üzere tüm disk üzerindeki yapay öğeleri kaldırmış olsa da, yeniden başlatmalar arasında kalıcılığı ortadan kaldırmış olurdu.
Tarrask saldırılarına karşı nasıl savunulur
“Gizli” görevler, yalnızca Görev Anahtarlarında SD (güvenlik tanımlayıcısı) Değeri olmayan zamanlanmış görevler ararsanız, Windows Kayıt Defteri’nin daha yakından manuel olarak incelenmesiyle bulunabilir.
Yöneticiler, Tarrask kötü amaçlı yazılımı kullanılarak “gizlenen” görevlerle bağlantılı önemli olayları kontrol etmek için Security.evtx ve Microsoft-Windows-TaskScheduler/Operational.evtx günlüklerini de etkinleştirebilir.
Microsoft ayrıca, Microsoft-Windows-TaskScheduler/Operational Task Scheduler günlüğü içinde ‘TaskOperational’ için günlüğe kaydetmenin etkinleştirilmesini ve kritik noktalardan giden bağlantıların izlenmesini önerir. Katman 0 ve Katman 1 varlıkları.
DART, “Bu kampanyadaki tehdit aktörleri, C&C altyapısıyla giden iletişimleri düzenli olarak yeniden kurarak internete maruz kalan kritik varlıklara erişimi sürdürmek için gizli zamanlanmış görevleri kullandı.” katma.
“Zamanlanmış görevlerin, süreklilik sağlarken belirli görevleri otomatikleştirmek için düşmanlar için etkili bir araç olduğunun farkındayız, bu da bizi bu genellikle gözden kaçan teknik hakkında farkındalık yaratmaya getiriyor.”