Zprávy

Microsoft objevil nový malware skrývající se za naplánované úlohy

Společnost Microsoft objevila nový malware vytvořený čínskou hackerskou skupinou Hafnium k udržení perzistence na zneužitých systémech Windows vytvářením a skrýváním se za naplánované úlohy.

Již dříve se Hafnium, které je státem podporovanou skupinou, účastnilo kyberšpionážních útoků na americké obranné společnosti, think tanky a výzkumníky. Hafnium je také státem podporovanou skupinou spojenou s Microsoftem a loňským globálním využíváním chyb tzv. „zero-day“ ProxyLogon ovlivňujících všechny podporované verze Microsoft Exchange.

„Jak Microsoft sleduje tohoto prioritního sponzorovaného útočníka, byla odhalena nová aktivita využívající neopravené zranitelnosti jako počáteční vektory,“ uvedl tým Microsoft Detection and Response Team (DART).

Bližší analýza této nové hrozby ukázala, že jde o malware s názvem „Tarrask“, který se umí vyhnout jakékoliv obraně a maskuje se za naplánovanou úlohu systému a následné akce k odstranění atributu úlohy, aby se plánované úlohy skryly před tradičním způsobem identifikace obranými nástroji.

Tarrask využívá dříve neznámou chybu Windows ke skrytí před „schtask /query“ a plánovačem úloh odstraněním související hodnoty registru popisovače zabezpečení, neboli „Security Descriptor“.

Hackerská skupina využívá tuto hrozbu vydávající se za „skryté“ naplánované úlohy k udržení přístupu k napadeným zařízením i po restartu obnovením přerušených připojení k infrastruktuře příkazů a řízení.

Členové Hafnia mohou na disku postiženého počítače odstranit pozůstatky tohoto malwaru odstraněním všech klíčů registru a XML souboru přidaného do systémové složky, aby eliminovali všechny stopy jejich škodlivé činnosti.

Jak se ubránit útoku Tarrask?

„Skryté“ úlohy Tarrask lze nalézt pouze při ruční kontrole registru Windows, pokud v jejich klíči vyhledáte naplánované úlohy bez hodnoty Security Descriptor. Správci systému mohou povolit protokoly „Security.evtx“ a „Microsoft-Windows-TaskScheduler/Operational.extx“ ke kontrole událostí spojených s úkoly označených jako skrytých pomocí malwaru Tarrask.

Microsoft rovněž doporučuje povolit protokolování pro „TaskOperational“ v protokolu „Microsoft-Windows-TaskScheduler/Operationak.evtx“ a monitorování odchozích připojení z kritických prostředků úrovně 0 a úrovně 1.

Zdroj: bleepingcomputer.com