Как обнаружить стойкую угрозу Tarrask в Windows

2022-04-13 6944 комментарии
12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения

Tarrask используется хакерской группой Hafnium, которая в прошлом нацеливала свои атаки на телекоммуникационные компании, интернет-провайдеров и сектор услуг передачи данных.

Для своих атак группировка использует уязвимости нулевого дня, чтобы проникнуть в компьютерные системы. После успешной атаки на устройства Windows используется системный баг, чтобы скрыть следы вредоносного ПО и затруднить его обнаружение. Tarrask использует ошибку для создания скрытых запланированных задач, чтобы избежать обнаружения и прописаться в системе на постоянной основе.

Планировщик заданий Windows используется системой и приложениями для запуска периодических задач, например, для проверки обновлений или выполнения операций обслуживания. Приложения могут добавлять задачи в планировщик заданий при условии, что они выполняются с достаточными для этого правами. По словам Microsoft, вредоносное ПО часто использует задачи для «поддержания устойчивости в среде Windows».

Пользователь может проанализировать задачи, запустив планировщик заданий. Однако, Tarrask использует баг планировщика, чтобы скрыть свою задачу от инструмента и от консольной команды schtasks /query, которая возвращает список существующих запланированных задач. Чтобы избежать обнаружения, Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. Другими словами: тщательная проверка всех задач с помощью любого из инструментов не выявит вредоносных задач.

Как обнаружить Tarrask в системах Windows

Вредоносная программа не удаляет информацию о задаче полностью и ее следы все еще можно найти в системном реестре. Microsoft подозревает, что хакерская группа оставила данные в реестре, чтобы сделать вредоносное ПО постоянным. Киберпреступники не знали, что задача «продолжит выполняться» после удаления компонента SD.

Администраторы Windows могут анализировать информацию о запланированных задачах в системном реестре, чтобы выяснить, заражена ли система вредоносным ПО Tarrask:

  • Используйте сочетание клавиш Windows + R, чтобы отобразить окно «Выполнить».
  • Введите regedit.exe и нажмите клавишу Enter.
  • Перейдите по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\

  • Отобразится список запланированных задач, существующих в системе.
  • Просмотрите каждую задачу, чтобы определить, указана ли она без значения SD.

Если задание без значения SD найдено, то это скрытое задание, которое не отображается в планировщике заданий или утилите командной строки. Задача не может быть удалена обычным образом, так как она выполняется в контексте пользователя SYSTEM. Попытки удалить задачу завершатся ошибкой отказа в доступе.

Последняя версия приложения безопасности Microsoft Defender обнаруживает вредоносное ПО. Microsoft добавила в Защитник Windows новое событие наблюдения, которое обнаруживает скрытые задачи — они помечаются приложением как Behavior:Win32/ScheduledTaskHide.A.

Microsoft  рекомендует администраторам принять следующие рекомендации по безопасности для обнаружения вредоносных программ, использующих этот вектор атаки:

  • Просмотрите раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
  • и попытайтесь найти задания без значения SD (Security Descriptor). При необходимости выполните анализ этих задач.
  • Измените свою политику аудита, чтобы идентифицировать действия запланированных задач, включив ведение журнала «TaskOperational» в Microsoft-Windows-TaskScheduler/Operational. Примените рекомендуемые параметры политики аудита, подходящие для вашей среды.
  • Включите и анализируйте следующие журналы планировщика заданий. Даже если задачи «скрыты», эти журналы отслеживают ключевые события, связанные с ними, которые могут привести вас к обнаружению хорошо скрытого механизма сохраняемости.
    • Event ID 4698 в журнале Security.evtx
    • Журнал Microsoft-Windows-TaskScheduler/Operational.evtx
  • Злоумышленники в этой кампании использовали скрытые запланированные задачи для поддержания доступа к критически важным компонентам, регулярно восстанавливая исходящие связи с инфраструктурой командного сервера. Сохраняйте бдительность и отслеживайте необычное поведение исходящих сообщений, обеспечив мониторинг и оповещение об этих подключениях от этих критически важных ресурсов уровня 0 и уровня 1.

Другие вредоносные программы также могут воспользоваться данной ошибкой планировщика, чтобы избежать обнаружения.

© . По материалам Ghacks

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?