Savremeni sajber napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku razotkrio je kako akteri prijetnji iskorištavaju Windows Task Scheduler za održavanje upornog pristupa kompromitovanim sistemima.
Ova akcija uključuje zlonamjernu varijantu Havoc frameworka, poznatog post-eksploatacijskog komandno-kontrolnog bekdora napisanog uglavnom u C++ i Go, demonstrirajući napredne tehnike za infiltraciju sistema i dugoročnu upornost.
Kampanja sa ovim malverom predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu su napadači uspješno održavali produženi pristup sistemima kroz pažljivo osmišljene mehanizme upornosti.
Vektor napada koristi prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows konzole (conhost.exe), koji je standardna komponenta operativnih sistema Windows još od verzije Windows 7.
Ova strateška obmana omogućava malveru da se neprimjetno uklopi sa legitimnim sistemskim procesima, značajno smanjujući vjerovatnoću otkrivanja od strane alata za bezbjednosno nadgledanje.
Analitičari kompanije Fortinet identifikovali su ovaj sofisticirani napad tokom svoje istrage upada usmjerenog na kritičnu nacionalnu infrastrukturu Bliskog istoka.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar sistemskog Task Scheduler-a kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili bezbjednosnih intervencija.
Strategija upornosti malvera pokazuje duboko razumijevanje arhitekture Windows sistema i bezbjednosnih mehanizama.
Napad počinje izvršavanjem zlonamjerne datoteke prerušene u conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`.
Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar „-f“ specificira šifrovani Havoc payload sadržan u conhost.dll, dok parametar „–path“ određuje cmd.exe kao ciljni proces za ubrizgavanje.
**Mehanizam ubrizgavanja i dešifriranja**
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payloada.
Nakon izvršenja, kreira novi cmd.exe proces koristeći API CreateProcessA(), uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload.
Injektor zatim dešifruje Havoc agenta koristeći ugrađeni šelkod unutar datoteke conhost.dll, pri čemu se ključ za dešifriranje i inicijalizacijski vektor dobijaju iz prvih 48 bajtova DLL datoteke.
Proces ubrizgavanja koristi API-je nižeg nivoa Windows-a, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifrovanog šelmoda i Havoc izvršne datoteke u novokreirani cmd.exe proces.
Na kraju, malver uspostavlja izvršenje putem ZwCreateThreadEx(), kreirajući daljinski nit unutar ciljnog procesa koja izvršava ubrizgani šelkod, efektivno raspoređujući Havoc bekdor, a istovremeno zadržavajući izgled legitimne sistemske aktivnosti.
Ova informacija je prvobitno objavljena na web stranici Cyber Security News.
Upozorenje pruža detaljan uvid u naprednu tehniku koju koriste sajber kriminalci kako bi osigurali dugotrajno prisustvo na ciljanim sistemima. Napadači su otkrili da zlonamjerni akteri iskorištavaju Windows Task Scheduler, ključni alat za automatizaciju zadataka, kao sredstvo za održavanje upornosti. Koriste modificiranu verziju Havoc frameworka, snažnog alata za post-eksploataciju, koji je primarno razvijen u jezicima C++ i Go. Ova strategija omogućava napadačima da ostanu neotkriveni i aktivni u kompromitovanim okruženjima duže vrijeme, čak i nakon ponovnog pokretanja sistema ili pokušaja čišćenja.
Specifični napad koji je Fortinet analizirao bio je usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku. Metodologija napada uključuje skrivanje zlonamjernog softvera u procesu poznatom kao `conhost.exe`, koji je legitimna komponenta Windows operativnog sistema od Windows 7. Ova obmana pomaže da se malveru omogući da se sakrije među normalnim sistemskim procesima, čineći ga teško uočljivim za standardne bezbjednosne alate. Napadači su, prema izvještaju, postavili više zlonamjernih elemenata unutar Task Scheduler-a. Ovaj raspored je osmišljen tako da obezbijedi da malver ostane aktivan i da povrati pristup sistemu čak i nakon eventualnih bezbjednosnih mjera ili restartovanja.
Upozorenje dalje objašnjava da se napad pokreće putem Task Scheduler-a koji izvršava `conhost.exe` sa specifičnim parametrima, uključujući `-f conhost.dll`, koji ukazuje na šifrovani Havoc payload, i `–path cmd.exe`, koji određuje proces `cmd.exe` kao cilj za ubrizgavanje. Da bi ubacio zlonamjerni kod, malver koristi napredne tehnike ubrizgavanja procesa. On prvo kreira novi `cmd.exe` proces koristeći API `CreateProcessA()`, što daje lažni izgled legitimne aktivnosti. Zatim dešifruje Havoc agenta pomoću ugrađenog šelmoda unutar `conhost.dll`, gdje su ključevi za dešifriranje izvedeni iz prvih 48 bajtova te datoteke. Ubrizgavanje samog koda se vrši korištenjem niskonivojskih Windows API-ja kao što su `ZwAllocateVirtualMemory()` i `ZwWriteVirtualMemory()`, kako bi se ubrizgali dešifrovani šelkod i izvršna datoteka Havoc u proces `cmd.exe`. Konačno, izvršenje se pokreće kroz `ZwCreateThreadEx()`, stvarajući daljinsku nit unutar ciljnog procesa koja pokreće šelkod, time uspješno raspoređujući Havoc bekdoor dok zadržava privid normalnog funkcionisanja sistema.