{"id":5924,"date":"2024-01-06T19:12:27","date_gmt":"2024-01-06T18:12:27","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5924"},"modified":"2024-01-06T19:12:27","modified_gmt":"2024-01-06T18:12:27","slug":"hafnium-neovlasteno-planira-zadatke","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/01\/06\/hafnium-neovlasteno-planira-zadatke\/","title":{"rendered":"Hafnium neovla\u0161teno planira zadatke"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/ipurple.team\/2024\/01\/03\/scheduled-task-tampering\/\" target=\"_blank\" rel=\"noopener\">Sigurnosni istra\u017eiva\u010di su otkrili<\/a> da <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akter<\/a> identifikovan kao <em>Hafnium<\/em> koristi nekonvencionalnu metodu da mijenja zakazane zadatke za uspostavljanje trajnog pristup modifikovanjem registri klju\u010deva sistema u svom <em>Tarrask<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernom softveru<\/a>. Ovo omogu\u0107ava zlonamjernom akteru da kreira skrivene zakazane zadatke.<\/span><\/p>\n<div id=\"attachment_5925\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5925\" class=\"size-full wp-image-5925\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM.jpg\" alt=\"HAFNIUM threat actor\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/HAFNIUM-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5925\" class=\"wp-caption-text\"><em>Hafnium neovla\u0161teno planira zadatke; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/01\/06\/hafnium-neovlasteno-planira-zadatke\/#HAFNIUM\">HAFNIUM<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/01\/06\/hafnium-neovlasteno-planira-zadatke\/#MODIFIKOVANJE_REGISTRI_KLJUCEVA_SISTEMA\">MODIFIKOVANJE REGISTRI KLJU\u010cEVA SISTEMA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/01\/06\/hafnium-neovlasteno-planira-zadatke\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/01\/06\/hafnium-neovlasteno-planira-zadatke\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"HAFNIUM\"><\/span><span style=\"font-size: 14pt;\"><strong><em>HAFNIUM<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Hafnium<\/em> je veoma sofisticirana grupa zlonamjernih aktera iz Kine. Grupu je razotkrila kompanija <em>Microsoft<\/em> u martu 2021. godine. Grupa je istaknuta po tome \u0161to cilja na ameri\u010dke entitete iz brojnih sektora industrije, uklju\u010duju\u0107i istra\u017eiva\u010de zaraznih bolesti, advokatske firme, visoko\u0161kolske institucije, izvo\u0111a\u010de radova u sektoru odbrane, istra\u017eiva\u010dke grupe i nevladine organizacije kako bi izvr\u0161ila kra\u0111u podatka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Hafnium<\/em> grupa prvenstveno cilja na <em>Microsoft<\/em> <em>Exchange<\/em> servere. Nakon dobijanja pristupa bilo kom serveru za razmjenu pomo\u0107u ukradene lozinke ili iskori\u0161\u0107avanjem bilo koje ranjivosti, grupa kreira veb komandno okru\u017eenje za daljinsku kontrolu kompromitovanih ure\u0111aja. Za ovo, grupa koristi <em>VPS<\/em> servere sa sjedi\u0161tem u SAD za eksfiltraciju podataka. Eksfiltrirani sadr\u017eaj se proslje\u0111uje na popularnu lokaciju za dijeljenje datoteka <em>MEGA<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Hafnium<\/em> grupa je povezan sa stvaranjem <em>Tarrask<\/em>, zlonamjernog softvera za izbjegavanje odbrambenih mehanizma korisni\u010dkog okru\u017eenja koji se koristio u prethodnim napadima. Zlonamjerni softver je kori\u0161\u0107en za napad na telekomunikacione kompanije, pru\u017eaoce internet usluga i kompanijama za pru\u017eanje usluga podataka od avgusta 2021. godine do februara 2022. godine.\u00a0<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Tarrask<\/em> varijanta zlonamjernog softvera koju koristi <em>Hafnium<\/em> grupa zlonamjernih aktera omogu\u0107ava napada\u010dima postizanje postojanosti na ure\u0111aju zloupotrebom zakazanih zadataka unutar <em>Windows<\/em> operativnog sistema kreirajuc\u0301i \u201c<em>skrivene<\/em>\u201d zakazane zadatke kako bi se prikrili zadaci koje su kreirali zlonamjerni akteri.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"MODIFIKOVANJE_REGISTRI_KLJUCEVA_SISTEMA\"><\/span><span style=\"font-size: 14pt;\"><strong>MODIFIKOVANJE REGISTRI KLJU\u010cEVA SISTEMA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su objavili koncept dokaza pod nazivom <em>GhostTask<\/em> koji iskori\u0161tava zakazane zadatke preko <em>beacon<\/em> objektne datoteke koja mo\u017ee omogu\u0107iti zlonamjernim akterima da ga koriste u okviru <em>C2<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tehnika manipulisanja zakazanim zadacima ponovo se kreira kreiranjem povezanih klju\u010deva u registrima koji su uglavnom zahtijevali povi\u0161ene privilegije. <em>GhostTask<\/em> zahteva zakazani zadatak koji ve\u0107 postoji u ciljnom sistemu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom kada su klju\u010devi u registrima izmijenjeni, sistem zahteva ponovno pokretanje da bi promjene stupile na snagu. Alternativno, uslu\u017eni program <em>schtasks utility<\/em> se mo\u017ee koristiti za pokretanje zadatka i uspostavljanje postojanosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zakazani zadaci koji se kreiraju manipulacijom klju\u010deva u registrima ne pojavljuju se u Planeru zadataka (eng. <em>Task Scheduler<\/em>) ili kada se izvr\u0161avaju <em>schtasks \/query, <\/em>a zlonamjerni akteri mogu da ga sakriju brisanjem <em>SD<\/em> (eng. security descriptor) klju\u010da u registrima. Me\u0111utim, brisanje ovog klju\u010da zahteva povi\u0161ene privilegije koje mogu dovesti do mogu\u0107nosti otkrivanja zloupotrebe privilegija. Kompanija <em>Microsoft<\/em> je otkrila da je <em>Hafnium<\/em> grupa koristi tehniku kra\u0111e tokena da bi dobila potrebne dozvole od procesa <em>lsass.exe<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Odr\u017eavanje postojanosti na inficiranom ure\u0111aju\u00a0 je jedna od klju\u010dnih stvari za zlonamjerne aktere\u00a0 da zadr\u017ee pristup kompromitovanim sistemima i omogu\u0107e sebi pristup kad god to zatreba. Jedna od klju\u010dnih metoda koja se koristi za odr\u017eavanje postojanosti je upotreba zakazanih zadataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenjem mogu\u0107nosti da se manipulacijom klju\u010deva u registrima kreiraju zadaci ne pojavljuju\u00a0 u Planeru zadataka, kao i mogu\u0107nosti da se svi artefakti na disku (tj. povezani klju\u010devi u registrima i <em>XML<\/em> datoteka zakazanog zadatka) mogu izbrisati bez ometanja izvr\u0161avanja zadatka dok se proces <em>svchost<\/em> ne prekine (ponovno pokretanje sistema) samo ote\u017eava tra\u017eenja aktivnosti zlonamjernih aktera unutra sistema i \u010ditav proces \u010dini izazovnijim.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zadaci koji su \u201c<em>skriveni<\/em>\u201d se mogu prona\u0107i samo nakon detaljnijeg ru\u010dnog pregleda <em>Windows<\/em> registra i to ako se tra\u017ee zakazani zadaci bez <em>SD<\/em> vrijednosti u okviru klju\u010da zadatka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Administratori tako\u0111e mogu da omogu\u0107e evidenciju <em>Security.evtx<\/em> i <em>Microsoft-Windows-TaskScheduler\/Operational.evtx<\/em> da provjere klju\u010dne doga\u0111aje povezane sa \u201c<em>skrivenim<\/em>\u201d zadacima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kompanija <em>Microsoft<\/em> tako\u0111e preporu\u010duje omogu\u0107avanje evidentiranja za <em>TaskOperational<\/em> unutar <em>Microsoft-Windows-TaskScheduler\/Operational Task Scheduler<\/em> evidencije i nadgledanje odlaznih veza sa kriti\u010dnih sredstava.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di su otkrili da zlonamjerni akter identifikovan kao Hafnium koristi nekonvencionalnu metodu da mijenja zakazane zadatke za uspostavljanje trajnog pristup modifikovanjem registri klju\u010deva sistema u svom Tarrask zlonamjernom softveru. Ovo omogu\u0107ava zlonamjernom akteru&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5925,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[665,664,130,667,666,143],"class_list":["post-5924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-ghosttask","tag-hafnium","tag-microsoft","tag-tarrask","tag-task-scheduler","tag-windows"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5924"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5924\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5925"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5924"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}