حمله بدافزار Tarrask به سیستم‌های Windows

گروه هکری چینی Hafnium از بدافزاری جدید برای ماندگاری در سیستم‌های آسیب‌پذیر Windows استفاده می‌کند.

به گزارش مرکز مدیریت راهبردی افتا، گفته می‌شود که این مهاجمان، از مرداد 1400 تا بهمن 1400، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند.
 تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که آن‌ها از ضعف‌های امنیتی روز – صفر در سرورهای Microsoft Exchange که در اسفند 1399 افشاء شد، سوءاستفاده کرده‌اند.
محققان مایکروسافت این بدافزار مخفی شونده را Tarrask نامیده‌‎اند و آن را ابزاری توصیف کرده‌اند که وظایف (Task) زمان‌بندی شده و پنهانی را در سیستم ایجاد و اجرا می‌کند. بهره‌جویی از وظایف زمان‌بندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.
اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشته‌اند، اما مدتی است که به بهره‌جویی از آسیب‌پذیری‌های روز – صفر وصله نشده به‌عنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask روی آورده‌اند. پس از ایجاد وظایف زمان‌بندی شده، کلیدهای رجیستری جدید در دو مسیر Tree و Tasks ایجاد می‌شود.

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

به نقل از محققان، در این روش، مهاجم وظیفه‌ای زمان‌بندی شده به نام WinUpdate  را از طریق HackTool:Win64/Tarrask ایجاد می‌کند تا هرگونه قطعی ارتباط با سرور کنترل و فرماندهی (Command and Control – به‌اختصار C&C) خود را دوباره برقرار کند.
“این منجر به ایجاد کلیدهای رجیستری و مقادیر توصیف شده می‌شود، بااین‌حال، مهاجم مقدار Security Descriptor را در مسیر Tree Registry پاک می‌کند. یک “توصیف‌گر امنیتی” (Security Descriptor – به‌اختصار SD) مجوزهای دسترسی را برای اجرای وظیفه زمان‌بندی شده تعریف می‌‌کند.
اما با پاک‌کردن مقدار SD در مسیر Tree Registry ، عملاً این وظیفه از Windows Task Scheduler یا از ابزار خط فرمان schtasks حذف و ناپدید می‌شود، مگر اینکه به‌صورت دستی با پیمایش مسیرها در Registry Editor بررسی شود. تحلیل حملات بدافزار Tarrask نشان می‌دهد که مهاجمان Hafnium درک منحصربه‌فردی از جزئیات سیستم‌عامل Windows دارند و از این تخصص برای پنهان کردن فعالیت‌های خود در نقاط پایانی استفاده می‌کنند تا در سیستم‌های آسیب‌پذیر ماندگار و پنهان شوند.
این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمان‌بندی شده برای ماندگاری در سیستم‌های آسیب‌پذیر مشاهده شده است. 
اخیراً محققان شرکت مالوربایتس (Malwarebytes, Inc.)، نیز روشی ساده اما کارآمد را که توسط بدافزاری به نام Colibri به کار گرفته شده، گزارش داده‌اند که در آن از وظایف زمان‌بندی ‌شده برای فعال ماندن پس از راه‌اندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است.


منبع:

https://thehackernews.com/2022/04/microsoft-exposes-evasive-chinese.html

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2083/Staging/%D8%AD%D9%85%D9%84%D9%87-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-Tarrask-%D8%A8%D9%87-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85%E2%80%8C%D9%87%D8%A7%DB%8C-Windows

(با تشکر از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش)

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.