A kínai hackerek az új Tarrask kártevőt használják a rendszer fennmaradásának biztosítására

Helga Smitháprilis 14, 2022Utolsó frissítés: április 16, 2022
68 1 perc olvasás

A Kínához köthető APT csoport, a Hafnium elkezdte használni az új Tarrask kártevőt, hogy biztosítsa a fennmaradást a feltört Windows rendszereken., szerint a Microsoft Threat Intelligence Centerhez (MSTIC).

Hafnium elsősorban az USA-beli szervezeteket célozza meg, beleértve a fertőző betegségek kutatóközpontjait is, ügyvédi irodák, felsőoktatási intézmények, védelmi vállalkozók, akadémikusok, és nem kormányzati szervezetek. A támadások a web-elérhető szerverek sebezhetőségeinek kihasználásával valósulnak meg, és legitim nyílt forráskódú keretrendszerek, mint pl Szövetség rosszindulatú programok ellenőrzésére szolgálnak.

Mint MSTIC magyarázta, a rendszer tartósságának biztosítása érdekében, Sikoly rejtett ütemezett feladatokat és új kulcsokat hoz létre hozzájuk:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

A Fa könyvtárban létrehozott első alkulcs megegyezik az ütemezett feladat nevével. A benne teremtett értékek (Id, Index és SD) metaadatokat tartalmaznak a feladat rendszerben történő regisztrálásához. A második alkulcs, létrehozva a Tasks könyvtárban, a GUID leképezése a Fa kulcsban található azonosító értékre. Az Actionsben létrehozott értékek, Pálya, Kiváltók, stb. tartalmazza a feladat megkönnyítéséhez szükséges alapvető paramétereket.– mondták a szakértők.

által vizsgált támadásban Microsoft, a támadók ütemezett WinUpdate feladatot hoztak létre a HackTool segítségével:Win64/Tarrask a megszakadt kapcsolat helyreállításához a C-vel&C szerverek. Eltávolították a Biztonsági Leírót (SD) értékét a Tree nyilvántartásból. Az SD meghatározza az ütemezett feladat futtatásához szükséges hozzáférés-vezérlőket.

A lényeg az SD érték törlése a Fa könyvtárból, akkor a feladat el lesz rejtve a Windows Task Scheduler és a schtasks parancssori segédprogram elől. A tevékenység felfedezésének egyetlen módja a Rendszerleíróadatbázis-szerkesztő manuális ellenőrzése.

A szakértők megjegyezték, hogy az SD-érték eltávolítására szolgáló reg delete parancs futtatása egy “Hozzáférés megtagadva” hiba akkor is, ha emelt szintű parancssorból fut. Az SD-érték eltávolításának egyetlen módja a parancs futtatása a SYSTEM felhasználó környezetében. Emiatt, A Tarrask kártevő tokenlopást használt az lsass.exe folyamathoz kapcsolódó biztonsági engedélyek megszerzéséhez.

Hadd emlékeztesselek, mi is ezt írtuk A kínai hackerek elfedik a nyomaikat, és néhány nappal az észlelés előtt eltávolítják a rosszindulatú programokat, és azt is A kínai hatóságok letartóztatták a szerzőket Mozi botnet.

Címke
Helga Smitháprilis 14, 2022Utolsó frissítés: április 16, 2022
68 1 perc olvasás

Helga Smith

Mindig is érdekelt az informatika, különösen az adatbiztonság és a téma, amelyet manapság úgy hívnak "adattudomány", tizenéves kora óta. Mielőtt a Víruseltávolító csapathoz került volna főszerkesztőként, Több cégnél dolgoztam kiberbiztonsági szakértőként, köztük az Amazon egyik vállalkozója. Újabb élmény: Arden és Reading egyetemeken tanítok.

Válaszolj

Ez az oldal az Akismetet használja a spamek csökkentésére. Ismerje meg, hogyan dolgozzák fel megjegyzései adatait.

'Fel a tetejéhez' gomb