Napadači sve češće koriste Windows Task Scheduler za ugradnju zlonamjernog softvera na sisteme kako bi osigurali upornost.
Ova sofisticirana metoda primijećena je u sklopu napada na kritičnu nacionalnu infrastrukturu na Bliskom istoku, gdje su sajber kriminalci iskoristili poznati okvir za post-eskploataciju pod nazivom Havoc framework. Ovaj alat, uglavnom napisan u C++ i Go, omogućava napredne tehnike prodiranja u sisteme i održavanje dugoročnog prisustva. Ovakav nivo ciljanja kritične infrastrukture predstavlja značajnu eskalaciju u sajber napadima, a napadači uspješno zadržavaju produženi pristup sistemima koristeći pažljivo konstruisane mehanizme za osiguranje upornosti.
U samom napadu, iskorišten je prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe). Ovaj proces je sastavni dio Windows operativnih sistema još od verzije Windows 7. Ovakva strateška obmana omogućava zlonamjernom softveru da se neprimjetno uklopi u regularne sistemske procese, čime se značajno smanjuje mogućnost detekcije od strane alata za nadzor sigurnosti.
Analitičari kompanije Fortinet identifikovali su ovaj napredan napad tokom istrage prodora u kritičnu nacionalnu infrastrukturu na Bliskom istoku. Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar sistemskog Task Schedulera kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Metodologija održavanja upornosti koju koristi ovaj zlonamjerni softver ukazuje na duboko razumijevanje arhitekture Windows sistema i njegovih sigurnosnih mehanizama.
Napad započinje izvršavanjem zlonamjerne datoteke koja se maskira kao conhost.exe, a pokreće se putem Windows Task Schedulera korištenjem komandne linije: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar „-f“ specificira enkriptovani Havoc payload koji se nalazi unutar conhost.dll, dok parametar „–path“ označava cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifriranja se odvija uz pomoć naprednih tehnika ubrizgavanja procesa za postavljanje Havoc payload-a. Nakon pokretanja, kreira se novi cmd.exe proces putem API-ja CreateProcessA(), čime se uspostavlja navodno legitimni proces koji služi kao domaćin za zlonamjerni payload. Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll datoteke, pri čemu se ključ za dešifriranje i inicijalizacioni vektor dobijaju iz prvih 48 bajtova DLL datoteke. Proces ubrizgavanja koristi niske nivoe Windows API-ja, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), kako bi ubrizgao dešifrovani shellcode i Havoc izvršnu datoteku u novokreirani cmd.exe proces. Na kraju, zlonamjerni softver pokreće izvršavanje putem ZwCreateThreadEx(), čime se kreira daljinski thread unutar ciljnog procesa koji izvršava ubrizgani shellcode, efikasno implementirajući Havoc backdoor, a sve to zadržavajući privid legitimnih sistemskih aktivnosti.
