Malware baru menggunakan bug Windows untuk menyembunyikan Task Schedule

Post a Comment
Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan persistensi pada sistem Windows yang disusupi dengan membuat dan menyembunyikan Task Schedule.
Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.
Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

Penghapusan nilai registri Windows

"Ketika Microsoft terus melacak aktor ancaman HAFNIUM yang disponsori negara dengan prioritas tinggi, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal," kata Microsoft Detection and Response Team (DART).
"Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi serta penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan Task Schedule 'tersembunyi', dan tindakan selanjutnya untuk menghapus task attribute, untuk menyembunyikan Task Schedule dari alat identifikasi."
Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari "schtasks/query" dan Task Scheduler dengan menghapus nilai registri Security Descriptor yang terkait.
Grup ancaman menggunakan Task Schedule "tersembunyi" ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).
Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Cara bertahan dari serangan Tarrask

Task "tersembunyi" hanya dapat ditemukan setelah pemeriksaan manual Windows Registry jika Anda mencari Task Schedule tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Task-nya.
Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan Task "tersembunyi" menggunakan malware Tarrask.
Microsoft juga merekomendasikan untuk mengaktifkan logging untuk 'TaskOperational' dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.
"Aktor ancaman dalam kampanye ini menggunakan Task Schedule tersembunyi untuk mempertahankan akses ke aset penting yang terpapar ke internet dengan secara teratur membangun kembali komunikasi keluar dengan infrastruktur C&C," tambah DART.
"Kami menyadari bahwa Task Schedule adalah alat yang efektif bagi musuh untuk mengotomatiskan Task-Task tertentu sambil mencapai persistensi, yang membawa kami untuk meningkatkan kesadaran tentang teknik yang sering diabaikan ini."

Baca

Post a Comment

Subscribe Our Newsletter