Hackerii chinezi folosesc noul malware Tarrask pentru a asigura persistența în sistem

Helga SmithAprilie 14, 2022Ultima actualizare: Aprilie 16, 2022
68 1 minute citite

Grupul APT Hafnium, legat de China, a început să folosească noul malware Tarrask pentru a asigura persistența pe sistemele Windows compromise, in conformitate la Centrul de informații despre amenințări Microsoft (MSTIC).

hafniu vizează în primul rând organizațiile din SUA, inclusiv centrele de cercetare a bolilor infectioase, firme de avocatura, institutii de invatamant superior, antreprenori de apărare, academicieni, și organizații neguvernamentale. Atacurile sunt efectuate prin exploatarea vulnerabilităților din serverele accesibile pe web, și cadre legitime open-source, cum ar fi Legământ sunt folosite pentru a controla programele malware.

La fel de MSTIC explicat, pentru a asigura persistența pe sistem, Ţipăt creează sarcini programate ascunse și chei noi pentru acestea:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

Prima subcheie creată în directorul Tree se potrivește cu numele sarcinii programate. Valorile create în ea (Id, Index și SD) conțin metadate pentru înregistrarea sarcinii în sistem. A doua subcheie, creat în directorul Tasks, este o mapare a GUID-ului la valoarea ID găsită în cheia Tree. Valorile create în Acțiuni, cale, Declanșatoare, etc. conțin parametrii de bază necesari pentru a ușura sarcina.au spus experții.

În atacul studiat de Microsoft, atacatorii au creat o sarcină WinUpdate programată prin HackTool:Win64/Tarrask pentru a restabili o conexiune întreruptă la C&servere C. Au eliminat descriptorul de securitate (SD) valoarea din registrul arborelui. SD-ul definește controalele de acces pentru rularea unei sarcini programate.

Linia de jos este să ștergeți valoarea SD din directorul Tree, apoi sarcina va fi ascunsă din Windows Task Scheduler și din utilitarul de linie de comandă schtasks. Singura modalitate de a descoperi această activitate este să verificați manual Editorul de registru.

Experții au remarcat că rularea comenzii reg delete pentru a elimina valoarea SD va avea ca rezultat un “Acces interzis” eroare chiar și atunci când se rulează dintr-un prompt de comandă ridicat. Singura modalitate de a elimina valoarea SD este să rulați comanda în contextul utilizatorului SYSTEM. Din acest motiv, Programul malware Tarrask a folosit furtul de jetoane pentru a obține permisiuni de securitate asociate cu procesul lsass.exe.

Permiteți-mi să vă reamintesc că și noi am scris asta Hackerii chinezi își acoperă urmele și elimină programele malware cu câteva zile înainte de detectare, și de asemenea că Autoritățile chineze au arestat autorii documentului Rețeaua botnet cinematografică.

Etichete
Helga SmithAprilie 14, 2022Ultima actualizare: Aprilie 16, 2022
68 1 minute citite

Helga Smith

Am fost mereu interesat de informatică, în special securitatea datelor și tema, care se numește în zilele noastre "știința datelor", încă din prima adolescență. Înainte de a intra în echipa de eliminare a virușilor în calitate de redactor-șef, Am lucrat ca expert în securitate cibernetică în mai multe companii, inclusiv unul dintre contractorii Amazon. O altă experiență: Am predat în universitățile Arden și Reading.

lasa un raspuns

Acest site folosește Akismet pentru a reduce spamul. Aflați cum sunt procesate datele comentariilor dvs.

Butonul înapoi la început