แฮกเกอร์ชาวจีนใช้มัลแวร์ Tarrask ใหม่เพื่อให้มั่นใจว่าระบบจะคงอยู่ต่อไป

เฮลก้า สมิธเมษายน 14, 2022ปรับปรุงล่าสุด: เมษายน 16, 2022
68 1 อ่านนาที

Hafnium กลุ่ม APT ที่เชื่อมโยงกับจีนได้เริ่มใช้มัลแวร์ Tarrask ใหม่เพื่อให้มั่นใจว่าระบบ Windows ที่ถูกบุกรุกจะคงอยู่ต่อไป, ตาม ไปยังศูนย์ข่าวกรองภัยคุกคามของ Microsoft (มิสทีค).

ฮาฟเนียม กำหนดเป้าหมายไปที่องค์กรในสหรัฐอเมริกาเป็นหลัก, รวมถึงศูนย์วิจัยโรคติดเชื้อ, บริษัทกฎหมาย, สถาบันอุดมศึกษา, ผู้รับเหมาป้องกัน, นักวิชาการ, และองค์กรพัฒนาเอกชน. การโจมตีจะดำเนินการโดยใช้ช่องโหว่ในเซิร์ฟเวอร์ที่เข้าถึงได้จากเว็บ, และเฟรมเวิร์กโอเพ่นซอร์สที่ถูกต้องตามกฎหมายเช่น กติกา ใช้เพื่อควบคุมมัลแวร์.

เช่น มิสทีค อธิบาย, เพื่อให้เกิดความคงทนในระบบ, กรีดร้อง สร้างงานที่กำหนดเวลาไว้ที่ซ่อนอยู่และคีย์ใหม่สำหรับพวกเขา:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

คีย์ย่อยแรกที่สร้างขึ้นในไดเร็กทอรี Tree ตรงกับชื่อของงานที่กำหนดเวลาไว้. คุณค่าที่สร้างขึ้นในนั้น (รหัส, ดัชนีและ SD) มีข้อมูลเมตาสำหรับการลงทะเบียนงานในระบบ. คีย์ย่อยที่สอง, สร้างในไดเรกทอรีงาน, เป็นการแมป GUID กับค่า ID ที่พบในคีย์ Tree. ค่าที่สร้างขึ้นในการดำเนินการ, เส้นทาง, ทริกเกอร์, เป็นต้น. มีพารามิเตอร์พื้นฐานที่จำเป็นเพื่อให้งานง่ายขึ้น.ผู้เชี่ยวชาญกล่าวว่า.

ในการโจมตีได้ศึกษาโดย ไมโครซอฟต์, ผู้โจมตีสร้างงาน WinUpdate ตามกำหนดเวลาผ่าน HackTool:Win64/Tarrask เพื่อสร้างการเชื่อมต่อที่ถูกขัดจังหวะกับ C&เซิร์ฟเวอร์ซี. พวกเขาลบ Security Descriptor ออก (เอสดี) ค่าจากรีจิสทรี Tree. SD กำหนดการควบคุมการเข้าถึงสำหรับการรันงานที่กำหนดเวลาไว้.

บรรทัดล่างคือการลบค่า SD ออกจากไดเร็กทอรี Tree, จากนั้นงานจะถูกซ่อนจาก Windows Task Scheduler และยูทิลิตี้บรรทัดคำสั่ง schtasks. วิธีเดียวที่จะค้นพบกิจกรรมนี้คือการตรวจสอบ Registry Editor ด้วยตนเอง.

ผู้เชี่ยวชาญตั้งข้อสังเกตว่าการรันคำสั่ง reg Delete เพื่อลบค่า SD จะส่งผลให้เกิด “ปฏิเสธการเข้าใช้” ข้อผิดพลาดแม้ในขณะที่เรียกใช้จากพรอมต์คำสั่งที่ยกระดับ. วิธีเดียวที่จะลบค่า SD คือการรันคำสั่งในบริบทของผู้ใช้ระบบ. สำหรับเหตุผลนี้, มัลแวร์ Tarrask ใช้การขโมยโทเค็นเพื่อรับสิทธิ์ด้านความปลอดภัยที่เกี่ยวข้องกับกระบวนการ lsass.exe.

ฉันขอเตือนคุณว่าเราเขียนอย่างนั้นเช่นกัน แฮกเกอร์ชาวจีนปกปิดร่องรอยและกำจัดมัลแวร์เมื่อสองสามวันก่อนที่จะถูกตรวจพบ, และนั่นด้วย ทางการจีนได้จับกุมผู้เขียน บอตเน็ตภาพยนตร์.

แท็ก
เฮลก้า สมิธเมษายน 14, 2022ปรับปรุงล่าสุด: เมษายน 16, 2022
68 1 อ่านนาที

เฮลก้า สมิธ

ฉันสนใจวิทยาการคอมพิวเตอร์มาโดยตลอด, โดยเฉพาะความปลอดภัยของข้อมูลและธีม, ซึ่งเรียกกันในปัจจุบันว่า "วิทยาศาสตร์ข้อมูล", ตั้งแต่วัยรุ่นตอนต้นของฉัน. ก่อนจะมาอยู่ในทีมกำจัดไวรัสในตำแหน่งหัวหน้าบรรณาธิการ, ฉันทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในหลายบริษัท, รวมถึงหนึ่งในผู้รับเหมาของ Amazon. ประสบการณ์อื่น: ฉันได้สอนในมหาวิทยาลัยอาร์เดนและรีดดิ้ง.

ทิ้งคำตอบไว้

เว็บไซต์นี้ใช้ Akismet เพื่อลดสแปม. เรียนรู้วิธีประมวลผลข้อมูลความคิดเห็นของคุณ.

ปุ่มกลับไปด้านบน