微软于 2022 年 4 月 12 日在其安全网站上发布了有关一种新恶意软件的信息。该恶意软件名为 tarrask,利用 windows 任务调度系统中的一个漏洞来逃避检测。
Tarrask 被黑客组织 Hafnium 使用,该组织过去针对电信、互联网服务提供商和数据服务部门。
该组织利用零日漏洞攻击计算机系统。一旦系统被成功攻击,Windows 中的一个漏洞就会被用来隐藏恶意软件的踪迹并使检测更加困难。Tarrask 使用该错误创建隐藏的计划任务,以避免检测,也可能用于持久性。
系统和应用程序使用 Windows 任务计划程序来启动任务,例如检查更新或运行维护操作。应用程序可以将任务添加到任务计划程序,前提是它们以足够的权限执行。根据微软的说法,恶意软件经常使用任务来“在 Windows 环境中保持持久性”。
可以通过在 Windows 上启动任务计划程序工具来分析任务。Tarrask 使用一个错误来隐藏它的任务,并使用命令行选项“schtasks /query”,它返回一个存在的计划任务列表。为避免检测,Tarrask 会删除 Windows 注册表中任务的安全描述符值;这会导致任务从任务计划程序和命令行工具中消失。换句话说:使用任何一种工具仔细检查所有任务都不会发现恶意任务。
在 Windows 系统上检测 Tarrask
该恶意软件不会完全删除任务信息,因为它的痕迹仍记录在系统注册表中。微软怀疑黑客组织将数据留在注册表中以使恶意软件持久存在,或者该组织不知道在删除 SD 组件后该任务将“继续运行”。
Windows 管理员可能会分析系统注册表中的计划任务信息,以确定系统是否感染了 Tarrask 恶意软件:
- 使用键盘快捷键 Windows-R 显示运行框。
- 键入 regedit.exe 并按 Enter 键。
- 导航到路径 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\。您将获得系统上存在的计划任务列表。
- 遍历每项任务以确定是否列出了没有 SD 值的任务。
如果找到没有 SD 值的任务,则它是一个隐藏任务,不会显示在任务计划程序或命令行实用程序中。该任务无法正常删除,因为它是在 SYSTEM 用户的上下文中运行的。尝试删除任务将失败,并显示拒绝访问错误消息。
Microsoft 的 Windows Defender 安全应用程序的最新版本检测到恶意软件。微软向 Windows Defender 添加了一个新的观察事件,用于检测隐藏任务;这些被标记为 Behavior:Win32/ScheduledTaskHide.A 然后由应用程序。
Microsoft 建议系统管理员采用以下建议和安全准则来检测使用攻击媒介的恶意软件:
枚举您的 Windows 环境注册表配置单元,查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree 注册表配置单元,并识别任务键中没有 SD(安全描述符)值的任何计划任务。根据需要对这些任务进行分析。通过在 Microsoft-Windows-TaskScheduler/Operational 中启用日志记录“TaskOperational”来修改您的审核策略以识别计划任务操作。应用适合您环境的推荐 Microsoft 审核策略设置。启用并集中以下任务计划程序日志。即使任务是“隐藏的”,这些日志也会跟踪与它们相关的关键事件,这可能会导致您在 Security.evtx 日志 Microsoft-Windows-TaskScheduler/Operational.evtx 日志中发现隐藏良好的持久性机制事件 ID 4698此活动中的威胁参与者使用隐藏的计划任务通过定期重新建立与 C&C 基础设施的出站通信来维持对暴露在互联网上的关键资产的访问。通过确保对来自这些关键第 0 层和第 1 层资产的这些连接进行监控和警报,保持警惕并监控出站通信的异常行为。
