Napadači ugrađuju zlonamjerni softver u Planer zadataka Windows sistema radi održavanja upornosti.
Napredna kibernetička operacija usmjerena na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrila je kako akteri prijetnji iskorištavaju Planer zadataka sustava Windows za održavanje ustrajnog pristupa kompromitovanim sistemima. Ova kampanja uključuje zlonamjernu inačicu Havoc frameworka, poznate komandno-kontrolne pozadinske platforme za post-eksploataciju, napisane uglavnom u C++ i Go, što ukazuje na napredne tehnike infiltracije sistema i dugoročnog održavanja upornosti.
Ova kampanja predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, gdje su napadači uspješno održavali produženi pristup sistemima koristeći pažljivo konstruisane mehanizme upornosti. Vektor napada koristi prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows konzole (conhost.exe), standardni dio operativnih sistema Windows još od verzije Windows 7. Ova strateška obmana omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnoću otkrivanja od strane alata za nadzor sigurnosti.
Analitičari kompanije Fortinet identificirali su ovaj sofisticirani napad tokom svoje istrage upada u kritičnu nacionalnu infrastrukturu na Bliskom istoku. Istraživači su otkrili da su napadači strateški postavili višestruke zlonamjerne komponente unutar Planera zadataka sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Metoda upornosti koju koristi zlonamjerni softver demonstrira duboko razumijevanje arhitekture sistema Windows i sigurnosnih mehanizama.
Napad započinje izvršavanjem zlonamjerne datoteke prerušene u conhost.exe, pokrenute putem Planera zadataka sustava Windows koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komande otkriva sofisticiranost napada, gdje parametar “-f” specificira šifrovani Havoc payload sadržan u conhost.dll, dok parametar “–path” određuje cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifriranja.
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payload-a. Po izvršenju, stvara novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload. Zatim, injektor dešifruje Havoc agenta koristeći ugrađeni shellcode unutar datoteke conhost.dll, sa ključem za dešifriranje i inicijalizacijskim vektorom izvedenim iz prvih 48 bajtova datoteke DLL. Proces ubrizgavanja koristi nisko-nivone Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifrovanog shellcode-a i Havoc izvršne datoteke u novostvoreni cmd.exe proces. Konačno, zlonamjerni softver uspostavlja izvršavanje putem ZwCreateThreadEx(), kreirajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, čime se efektivno raspoređuje Havoc pozadinska platforma, zadržavajući pritom izgled legitimnih sistemskih aktivnosti.
