Napadači ugrađuju zlonamjerni softver u Planer zadataka Windows sistema radi održavanja postojanosti.
Sofisticirani kibernetički napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrio je kako napadači iskorištavaju Windows Task Scheduler kako bi održali postojani pristup kompromitiranim sistemima.
Ovaj napad uključuje zlonamjernu varijantu okvira Havoc, poznatog alata za post-eskalaciju komandi i upravljanja (Command and Control – C2) napisanog uglavnom u C++ i Go, demonstrirajući napredne tehnike infiltracije sistema i dugoročne postojanosti.
Kampanja zlonamjernog softvera predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu napadači uspješno održavaju produženi pristup sistemima kroz pažljivo osmišljene mehanizme postojanosti.
Vektor napada koristi prerušeni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), koji je standardna komponenta Windows operativnih sistema od verzije Windows 7.
Ova strateška obmana omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnoću detekcije od strane alata za sigurnosno nadgledanje.
Analitičari kompanije Fortinet identifikovali su ovaj sofisticirani napad tokom svoje istrage o upadu usmjerenom na kritičnu nacionalnu infrastrukturu na Bliskom istoku.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija.
Strategija postojanosti zlonamjernog softvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad počinje izvršavanjem zlonamjerne datoteke prerušene kao conhost.exe, pokrenute putem Windows Task Scheduler koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`.
Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar “-f” specificira šifrirani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifriranja.
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payload-a.
Nakon izvršenja, on stvara novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin zlonamjernom payload-u.
Injektor zatim dešifrira Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll datoteke, pri čemu se ključ za dešifriranje i inicijalizacijski vektor dobijaju iz prvih 48 bajtova DLL datoteke.
Proces ubrizgavanja koristi niske Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifriranog shellcode-a i Havoc izvršnog fajla u novostvoreni cmd.exe proces.
Konačno, zlonamjerni softver uspostavlja izvršenje putem ZwCreateThreadEx(), stvarajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, efektivno raspoređujući Havoc backdoor, a istovremeno održavajući izgled legitimnih sistemskih aktivnosti.