Napadači ugrađuju zlonamjerni softver u Windows Task Scheduler radi održavanja perzistencije
Sofisticirani cyber napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrio je kako napadači koriste Windows Task Scheduler za održavanje perzistentnog pristupa kompromitovanim sistemima.
U napadu je korištena zlonamjerna varijanta Havoc frameworka, poznatog backdoor-a za post-eksploataciju i komandnu kontrolu, uglavnom napisanog u C++ i Go, pokazujući napredne tehnike za infiltraciju sistema i dugoročnu perzistenciju.
Ova kampanja malvera predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu napadači uspješno održavaju produženi pristup sistemima kroz pažljivo kreirane mehanizme perzistencije.
Napadni vektor koristi prikriveni daljinski injektor koji se predstavlja kao legitimni Windows proces, conhost.exe, koji je standardna komponenta Windows operativnih sistema još od Windowsa 7.
Ova strateška obmana omogućava malveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnost otkrivanja od strane alata za nadzor sigurnosti.
Analitičari Fortineta su identifikovali ovaj sofisticirani napad tokom svoje istrage upada usmjerenog na kritičnu nacionalnu infrastrukturu na Bliskom istoku.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler-a sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija.
Strategija perzistencije malvera demonstrira duboko razumijevanje Windows arhitekture sistema i sigurnosnih mehanizama.
Napad započinje izvršavanjem zlonamjerne datoteke prerušene u conhost.exe, pokrenute putem Windows Task Scheduler-a pomoću komandne linije: C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe.
Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar „-f“ specificira šifrovani Havoc payload sadržan u conhost.dll, dok parametar „–path“ označava cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifrovanja
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za raspoređivanje Havoc payload-a.
Po izvršavanju, on kreira novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload.
Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll datoteke, pri čemu se ključ za dešifrovanje i inicijalizacijski vektor dobijaju iz prvih 48 bajtova DLL datoteke.
Proces ubrizgavanja koristi nisko-nivone Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifrovanog shellcode-a i Havoc izvršnog fajla u novokreirani cmd.exe proces.
Konačno, malver uspostavlja izvršavanje putem ZwCreateThreadEx(), kreirajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, efektivno raspoređujući Havoc backdoor uz zadržavanje privida legitimnih sistemskih aktivnosti.
