Hafnium neovlašteno planira zadatke

Sigurnosni istraživači su otkrili da zlonamjerni akter identifikovan kao Hafnium koristi nekonvencionalnu metodu da mijenja zakazane zadatke za uspostavljanje trajnog pristup modifikovanjem registri ključeva sistema u svom Tarrask zlonamjernom softveru. Ovo omogućava zlonamjernom akteru da kreira skrivene zakazane zadatke.

HAFNIUM threat actor

Hafnium neovlašteno planira zadatke; Source: Bing Image Creator

HAFNIUM

Hafnium je veoma sofisticirana grupa zlonamjernih aktera iz Kine. Grupu je razotkrila kompanija Microsoft u martu 2021. godine. Grupa je istaknuta po tome što cilja na američke entitete iz brojnih sektora industrije, uključujući istraživače zaraznih bolesti, advokatske firme, visokoškolske institucije, izvođače radova u sektoru odbrane, istraživačke grupe i nevladine organizacije kako bi izvršila krađu podatka.

Hafnium grupa prvenstveno cilja na Microsoft Exchange servere. Nakon dobijanja pristupa bilo kom serveru za razmjenu pomoću ukradene lozinke ili iskorišćavanjem bilo koje ranjivosti, grupa kreira veb komandno okruženje za daljinsku kontrolu kompromitovanih uređaja. Za ovo, grupa koristi VPS servere sa sjedištem u SAD za eksfiltraciju podataka. Eksfiltrirani sadržaj se prosljeđuje na popularnu lokaciju za dijeljenje datoteka MEGA.

Hafnium grupa je povezan sa stvaranjem Tarrask, zlonamjernog softvera za izbjegavanje odbrambenih mehanizma korisničkog okruženja koji se koristio u prethodnim napadima. Zlonamjerni softver je korišćen za napad na telekomunikacione kompanije, pružaoce internet usluga i kompanijama za pružanje usluga podataka od avgusta 2021. godine do februara 2022. godine. 

Tarrask varijanta zlonamjernog softvera koju koristi Hafnium grupa zlonamjernih aktera omogućava napadačima postizanje postojanosti na uređaju zloupotrebom zakazanih zadataka unutar Windows operativnog sistema kreirajući “skrivene” zakazane zadatke kako bi se prikrili zadaci koje su kreirali zlonamjerni akteri.

 

MODIFIKOVANJE REGISTRI KLJUČEVA SISTEMA

Sigurnosni istraživači su objavili koncept dokaza pod nazivom GhostTask koji iskorištava zakazane zadatke preko beacon objektne datoteke koja može omogućiti zlonamjernim akterima da ga koriste u okviru C2.

Tehnika manipulisanja zakazanim zadacima ponovo se kreira kreiranjem povezanih ključeva u registrima koji su uglavnom zahtijevali povišene privilegije. GhostTask zahteva zakazani zadatak koji već postoji u ciljnom sistemu.

Jednom kada su ključevi u registrima izmijenjeni, sistem zahteva ponovno pokretanje da bi promjene stupile na snagu. Alternativno, uslužni program schtasks utility se može koristiti za pokretanje zadatka i uspostavljanje postojanosti.

Zakazani zadaci koji se kreiraju manipulacijom ključeva u registrima ne pojavljuju se u Planeru zadataka (eng. Task Scheduler) ili kada se izvršavaju schtasks /query, a zlonamjerni akteri mogu da ga sakriju brisanjem SD (eng. security descriptor) ključa u registrima. Međutim, brisanje ovog ključa zahteva povišene privilegije koje mogu dovesti do mogućnosti otkrivanja zloupotrebe privilegija. Kompanija Microsoft je otkrila da je Hafnium grupa koristi tehniku krađe tokena da bi dobila potrebne dozvole od procesa lsass.exe.

 

ZAKLJUČAK

Održavanje postojanosti na inficiranom uređaju  je jedna od ključnih stvari za zlonamjerne aktere  da zadrže pristup kompromitovanim sistemima i omoguće sebi pristup kad god to zatreba. Jedna od ključnih metoda koja se koristi za održavanje postojanosti je upotreba zakazanih zadataka.

Korištenjem mogućnosti da se manipulacijom ključeva u registrima kreiraju zadaci ne pojavljuju  u Planeru zadataka, kao i mogućnosti da se svi artefakti na disku (tj. povezani ključevi u registrima i XML datoteka zakazanog zadatka) mogu izbrisati bez ometanja izvršavanja zadatka dok se proces svchost ne prekine (ponovno pokretanje sistema) samo otežava traženja aktivnosti zlonamjernih aktera unutra sistema i čitav proces čini izazovnijim.

 

ZAŠTITA

Zadaci koji su “skriveni” se mogu pronaći samo nakon detaljnijeg ručnog pregleda Windows registra i to ako se traže zakazani zadaci bez SD vrijednosti u okviru ključa zadatka.

Administratori takođe mogu da omoguće evidenciju Security.evtx i Microsoft-Windows-TaskScheduler/Operational.evtx da provjere ključne događaje povezane sa “skrivenim” zadacima.

Kompanija Microsoft takođe preporučuje omogućavanje evidentiranja za TaskOperational unutar Microsoft-Windows-TaskScheduler/Operational Task Scheduler evidencije i nadgledanje odlaznih veza sa kritičnih sredstava.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.