Notícias de dispositivos móveis, gadgets, aplicativos Android

Malware Tarrask usa vulnerabilidades de dia zero não corrigidas para escapar de técnicas de defesa

Descobriu-se que o grupo de hackers Hafnium, apoiado pela China, usa um novo tipo de malware que a Microsoft descobriu há alguns dias.

Este malware foi usado para criar e ocultar tarefas agendadas em computadores comprometidos. Windows sistemas, a fim de manter a persistência nesses sistemas, e é apelidado de “Tarrask”.

Tem havido um padrão histórico de ataques do grupo de ameaças Hafnium visando empresas americanas nos seguintes setores: –

  • Indústria de defesa
  • Tanques de reflexão
  • Pesquisadores

A Microsoft também listado é um dos grupos patrocinados pelo Estado que esteve ligado no ano passado a um ataque global massivo. Neste ataque global, os agentes da ameaça exploraram a falha de dia zero do ProxyLogon que afeta todas as versões suportadas do Microsoft Exchange.

Mantendo a persistência por meio de tarefas agendadas

Para executar tarefas automatizadas em um computador escolhido para fins administrativos legítimos, Windows O Agendador de Tarefas é um serviço que permite aos usuários agendar tarefas para serem executadas em seus computadores.

Neste caso específico, é comum a utilização deste serviço por atores de ameaças para manter sua persistência enquanto permanecerem dentro de um Windows ambiente.

Se você usar a GUI do Agendador de Tarefas ou o utilitário de linha de comando schtasks para criar uma tarefa agendada, o malware Tarrask gerará vários artefatos do processo.

Abaixo mencionamos as chaves de registro que são criadas na criação de uma nova tarefa: –

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

É possível que os operadores do Hafnium tenham excluído todos os artefatos do disco como:-

Como todos esses artefatos excluídos também foram adicionados à pasta do sistema para remover qualquer vestígio de sua atividade maliciosa, isso aparentemente teria removido a persistência nas reinicializações, uma vez que foi adicionado à pasta do sistema.

Nós recomendamos:  Razões para excluir o aplicativo Facebook: críticas negativas, questões de privacidade, etc.

Recomendação

No Windows sistema operacional, serviços como agendadores de tarefas ou tarefas servindo por muitos anos. Este ataque ilustra o fato de que o ator da ameaça HAFNIUM tem um profundo conhecimento do Windows subsistema e faz uso dessa base para realizar o ataque com sucesso.

Eles fazem isso para fazer o seguinte nos sistemas comprometidos:-

  • Mascarar atividades em endpoints direcionados
  • Mantenha a persistência
  • Esconda-se à vista de todos

Portanto, mencionamos abaixo todas as possíveis mitigações fornecidas pela Equipe de Detecção e Resposta da Microsoft (DART) em colaboração com o Microsoft Threat Intelligence Center (MSTIC): –

  • Enumere seu Windows colmeias de registro de ambiente.
  • Habilite o registro “TaskOperational” no Microsoft-Windows-TaskScheduler/Operacional para modificar sua política de auditoria para identificar ações de tarefas agendadas.
  • Sempre aplique as configurações recomendadas da política de auditoria da Microsoft.
  • Habilite e centralize os logs do Agendador de Tarefas: “Event ID 4698 dentro do log Security.evtx” e “Microsoft-Windows-Registro TaskScheduler/Operational.evtx”
  • Certifique-se de monitorar todos os comportamentos incomuns de suas comunicações de saída.
  • Restabeleça regularmente as comunicações de saída com a infraestrutura C&C.

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.