Napadaci koriste Windows Task Scheduler za postizanje trajne prisutnosti na sistemima
Napredna cyber prijetnja usmjerena na ključnu nacionalnu infrastrukturu na Bliskom istoku otkrila je kako iskusni napadači iskorištavaju Windows Task Scheduler kako bi osigurali upornu prisutnost na kompromitovanim sistemima.
Ovaj napad uključuje zlonamjernu varijantu Havoc frameworka, poznatog post-eksploatacijskog komandnog i kontrolnog “backdoor”-a, uglavnom napisanog u C++ i Go, demonstrirajući napredne tehnike za infiltraciju sistema i dugoročnu upornost.
Ova kampanja predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu su napadači uspješno održavali produženi pristup sistemima kroz pažljivo izrađene mehanizme upornosti.
Vektor napada koristi prikriveni daljinski ubrizgivač (remote injector) koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), koji je standardna komponenta Windows operativnih sistema još od verzije Windows 7.
Ova strateška obmana omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnost otkrivanja od strane alata za nadzor sigurnosti.
Analitičari Fortineta su identificirali ovaj sofisticirani napad tokom svoje istrage upada u kritičnu nacionalnu infrastrukturu na Bliskom istoku.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler-a sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija.
Strategija upornosti zlonamjernog softvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad počinje izvršavanjem zlonamjerne datoteke prikrivene kao conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`.
Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar “-f” specificira šifrirani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifriranja
Daljinski ubrizgivač koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payload-a.
Nakon izvršavanja, stvara se novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload.
Ubrizgivač zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar datoteke conhost.dll, pri čemu se ključ za dešifriranje i inicijalizacioni vektor izvedeni iz prvih 48 bajtova DLL datoteke.
Proces ubrizgavanja koristi API-je niskog nivoa Windows-a, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), kako bi ubrizgao i dešifrirani shellcode i Havoc izvršni fajl u novostvoreni cmd.exe proces.
Konačno, zlonamjerni softver uspostavlja izvršavanje putem ZwCreateThreadEx(), stvarajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, efektivno implementirajući Havoc “backdoor” dok održava izgled legitimne sistemske aktivnosti.
Ovaj post je prvobitno objavljen na Cyber Security News.
Naime, Fortinet je objavio izvještaj na svom zvaničnom blogu, detaljno opisujući ovaj napad. Napadači su uočeni kako iskorištavaju Windows Task Scheduler, ugrađujući zlonamjerni softver kako bi osigurali dugotrajnu prisutnost na ugroženim sistemima. Njihova metodologija se svodi na prikrivanje zlonamjernog softvera kao legitimnog procesa, tačnije `conhost.exe`, čime se otežava njegovo otkrivanje od strane sigurnosnih alata. Specifičan primjer napada usmjeren je na kritičnu nacionalnu infrastrukturu na Bliskom istoku. Napadači koriste `conhost.dll` datoteku koja sadrži šifrirani Havoc payload, a koju inicijaliziraju putem parametara u Task Scheduler-u, ciljajući `cmd.exe` proces za ubrizgavanje. Ovo omogućava trajno prisustvo, čak i nakon ponovnog pokretanja sistema ili pokušaja intervencije od strane administratora, jer je zakazano izvršavanje osigurano. Detalji ukazuju na složenu tehniku koja uključuje manipulaciju API-jima poput `ZwAllocateVirtualMemory()` i `ZwWriteVirtualMemory()` za ubrizgavanje zlonamjernog koda, te `ZwCreateThreadEx()` za njegovo aktiviranje, sve pod krinkom normalnog sistemskog rada. Ovaj pristup ilustrira naprednu strategiju za postizanje postojanosti, što može biti veoma teško otkriti i neutralizirati.
