Hakeri iskorištavaju Task Scheduler Windowsa za ustrajnost na kompromitovanim sistemima
Napredna kibernetička kampanja usmjerena na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrila je kako ciljani akteri koriste ugrađeni Windows Task Scheduler kako bi osigurali trajni pristup sistemima koji su već kompromitovani. Ova metoda je primijećena kod maliciozne varijante okvira poznatog kao Havoc framework, koji je pretežno napisan u C++ i Go, pokazujući sofisticirane tehnike za prodiranje u sisteme i održavanje dugoročne ustrajnosti.
Ovakve maliciozne kampanje predstavljaju značajnu eskalaciju u ciljanju kritične infrastrukture, gdje napadači uspijevaju zadržati produženi pristup sistemima putem pažljivo osmišljenih mehanizama za osiguravanje ustrajnosti. Metoda napada uključuje zlonamjerni alat za daljinsko injektiranje koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), ključna komponenta Windows operativnih sistema od verzije Windows 7.
Ova vještačka obmana omogućava malveru da se neprimjetno uklopi u redovne sistemske procese, čime se značajno smanjuje vjerovatnost otkrivanja od strane alata za nadzor sigurnosti. Analitičari kompanije Fortinet identificirali su ovaj sofisticirani napad tokom svojih istraga upada u kritičnu nacionalnu infrastrukturu na Bliskom istoku.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar sistemskog Task Scheduler-a, osiguravajući time neprekidni pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Strategija ustrajnosti malvera ukazuje na duboko razumijevanje arhitekture Windows sistema i njegovih sigurnosnih mehanizama.
Napad započinje izvršavanjem maliciozne datoteke prerušene u conhost.exe, koja se pokreće putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ovakva struktura komandi otkriva sofisticiranost napada, gdje parametar “-f” specificira šifrirani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za injektiranje.
Mehanizam injektiranja i dešifriranja
Alat za daljinsko injektiranje koristi napredne tehnike ubacivanja procesa za implementaciju Havoc payload-a. Nakon izvršavanja, on kreira novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload. Zatim, alat dešifruje Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll datoteke, pri čemu se ključ za dešifriranje i inicijalizacijski vektor dobivaju iz prvih 48 bajtova DLL datoteke.
Proces injektiranja koristi niske Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), kako bi ubacio dešifrirani shellcode i Havoc izvršni kod u novokreirani cmd.exe proces. Konačno, malver uspostavlja izvršavanje putem ZwCreateThreadEx(), kreirajući daljinski thread unutar ciljnog procesa koji izvršava ubacujući shellcode, čime se efektivno implementira Havoc backdoor, a zadržava izgled legitimne sistemske aktivnosti.
