Descobriu-se que o grupo de hackers Hafnium, apoiado pela China, usa um novo tipo de malware que a Microsoft descobriu há alguns dias.
Este malware foi usado para criar e ocultar tarefas agendadas em computadores comprometidos. Windows sistemas, a fim de manter a persistência nesses sistemas, e é apelidado de “Tarrask”.
Tem havido um padrão histórico de ataques do grupo de ameaças Hafnium visando empresas americanas nos seguintes setores: –
- Indústria de defesa
- Tanques de reflexão
- Pesquisadores
A Microsoft também listado é um dos grupos patrocinados pelo Estado que esteve ligado no ano passado a um ataque global massivo. Neste ataque global, os agentes da ameaça exploraram a falha de dia zero do ProxyLogon que afeta todas as versões suportadas do Microsoft Exchange.
Mantendo a persistência por meio de tarefas agendadas
Para executar tarefas automatizadas em um computador escolhido para fins administrativos legítimos, Windows O Agendador de Tarefas é um serviço que permite aos usuários agendar tarefas para serem executadas em seus computadores.
Neste caso específico, é comum a utilização deste serviço por atores de ameaças para manter sua persistência enquanto permanecerem dentro de um Windows ambiente.
Se você usar a GUI do Agendador de Tarefas ou o utilitário de linha de comando schtasks para criar uma tarefa agendada, o malware Tarrask gerará vários artefatos do processo.
Abaixo mencionamos as chaves de registro que são criadas na criação de uma nova tarefa: –
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}
É possível que os operadores do Hafnium tenham excluído todos os artefatos do disco como:-
Como todos esses artefatos excluídos também foram adicionados à pasta do sistema para remover qualquer vestígio de sua atividade maliciosa, isso aparentemente teria removido a persistência nas reinicializações, uma vez que foi adicionado à pasta do sistema.
Recomendação
No Windows sistema operacional, serviços como agendadores de tarefas ou tarefas servindo por muitos anos. Este ataque ilustra o fato de que o ator da ameaça HAFNIUM tem um profundo conhecimento do Windows subsistema e faz uso dessa base para realizar o ataque com sucesso.
Eles fazem isso para fazer o seguinte nos sistemas comprometidos:-
- Mascarar atividades em endpoints direcionados
- Mantenha a persistência
- Esconda-se à vista de todos
Portanto, mencionamos abaixo todas as possíveis mitigações fornecidas pela Equipe de Detecção e Resposta da Microsoft (DART) em colaboração com o Microsoft Threat Intelligence Center (MSTIC): –
- Enumere seu Windows colmeias de registro de ambiente.
- Habilite o registro “TaskOperational” no Microsoft-Windows-TaskScheduler/Operacional para modificar sua política de auditoria para identificar ações de tarefas agendadas.
- Sempre aplique as configurações recomendadas da política de auditoria da Microsoft.
- Habilite e centralize os logs do Agendador de Tarefas: “Event ID 4698 dentro do log Security.evtx” e “Microsoft-Windows-Registro TaskScheduler/Operational.evtx”
- Certifique-se de monitorar todos os comportamentos incomuns de suas comunicações de saída.
- Restabeleça regularmente as comunicações de saída com a infraestrutura C&C.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.