Kínverskir tölvuþrjótar nota nýja Tarrask spilliforritið til að tryggja þrautseigju á kerfinu

Helga Smithapríl 14, 2022Síðast uppfært: apríl 16, 2022
68 1 mínútu lestur

Kínverska APT hópurinn Hafnium hefur byrjað að nota nýja Tarrask spilliforritið til að tryggja þrautseigju á Windows kerfum sem eru í hættu, skv til Microsoft Threat Intelligence Center (MSTIC).

Hafnium beinist fyrst og fremst að stofnunum í Bandaríkjunum, þar á meðal smitsjúkdómarannsóknastöðvar, lögmannsstofum, æðri menntastofnanir, varnarverktaka, fræðimenn, og frjáls félagasamtök. Árásir eru gerðar með því að nýta veikleika á netaðgengilegum netþjónum, og lögmætum opnum ramma eins og Sáttmáli eru notuð til að stjórna spilliforritum.

Sem MSTIC útskýrði, í því skyni að tryggja viðnám á kerfinu, Öskra býr til falin áætlunarverkefni og nýja lykla fyrir þau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

Fyrsti undirlykillinn sem búinn er til í Tree möppunni samsvarar nafni áætluðu verksins. Verðmætin sem skapast í henni (kt, Vísitala og SD) innihalda lýsigögn til að skrá verkefnið í kerfið. Annar undirlykillinn, búin til í Verkefnaskránni, er kortlagning á GUID að auðkennisgildinu sem er að finna í trélyklinum. Gildin sem skapast í Actions, Leið, Kveikjur, o.s.frv. innihalda grunnfæribreytur sem þarf til að gera verkefnið auðveldara.sögðu sérfræðingarnir.

Í árásinni rannsakað af Microsoft, árásarmennirnir bjuggu til áætlað WinUpdate verkefni í gegnum HackTool:Win64/Tarrask til að koma aftur á trufluðri tengingu við C&C netþjóna. Þeir fjarlægðu öryggislýsinguna (SD) verðmæti úr tréskránni. SD skilgreinir aðgangsstýringar til að keyra áætlað verkefni.

Niðurstaðan er að eyða SD gildinu úr Tree skránni, þá verður verkefnið falið frá Windows Task Scheduler og schtasks skipanalínuforritinu. Eina leiðin til að uppgötva þessa starfsemi er að athuga handvirkt í Registry Editor.

Sérfræðingar tóku fram að keyra reg delete skipunina til að fjarlægja SD gildi mun leiða til “Aðgangi hafnað” villa, jafnvel þegar keyrt er frá hækkaðri skipanalínu. Eina leiðin til að fjarlægja SD gildi er að keyra skipunina í samhengi við SYSTEM notandann. Af þessari ástæðu, Tarrask spilliforrit notaði táknþjófnað til að fá öryggisheimildir tengdar lsass.exe ferlinu.

Ég minni á að við skrifuðum það líka Kínverskir tölvuþrjótar hylja slóð sína og fjarlægja spilliforrit nokkrum dögum áður en þeir uppgötvast, og líka það Kínversk yfirvöld hafa handtekið höfunda Botnet kvikmyndahúss.

Merki
Helga Smithapríl 14, 2022Síðast uppfært: apríl 16, 2022
68 1 mínútu lestur

Helga Smith

Ég hafði alltaf áhuga á tölvunarfræði, sérstaklega gagnaöryggi og þemað, sem heitir nú á dögum "gagnafræði", síðan á unglingsárum mínum. Áður en þú kemur inn í teymið til að fjarlægja veirur sem aðalritstjóri, Ég starfaði sem sérfræðingur í netöryggi í nokkrum fyrirtækjum, þar á meðal einn af verktökum Amazon. Önnur upplifun: Ég hef kennt í Arden og Reading háskólunum.

Skildu eftir skilaboð

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummælagögnin þín eru unnin.

Aftur efst á hnappinn