微軟解釋說,Hafnium 組織正在使用 Tarrask(“安全規避惡意軟件”)繞過 Windows 安全性並將受感染的環境暴露在漏洞中。檢測和響應小組 (DART) 在博客文章中:
隨著Microsoft繼續監控由國家贊助的高優先級 HAFNIUM 威脅,已發現使用未修補的零日漏洞作為種子向量的新活動。進一步調查揭示了 Impacket 使用橫向移動和執行工具的取證偽影,以及檢測到一種名為 Tarrask 的規避惡意軟件,該惡意軟件創建“隱藏”計劃任務和後續行動,以刪除任務屬性以隱藏傳統任務中的計劃任務。識別手段。
Microsoft正在積極監控 Hafnium 活動,並意識到該組織正在使用 Windows 子系統中的新漏洞。該組織似乎正在使用以前未知的 Windows 錯誤來隱藏“schtasks/query”和任務調度程序中的惡意軟件。
該惡意軟件通過刪除相應的安全描述符註冊表設置成功地逃避了檢測。簡而言之,尚未修復的 Windows 任務計劃程序錯誤可幫助惡意軟件清理其軌道並確保其磁盤工件(操作殘留物)不會洩露正在發生的事情。
撇開技術術語不談,該組織似乎正在使用“隱藏”的計劃任務來保持受感染的設備即使在多次重啟後仍可訪問。與任何惡意軟件一樣,即使是 Tarrask 也會重新建立與命令和控制 (C2) 基礎設施的斷開連接。
微軟的 DART 不僅發出了警告,還建議在 Microsoft-Windows-TaskScheduler/Operational Task Scheduler 日誌中為 TaskOperational 啟用日誌記錄。這應該有助於管理員識別來自第 0 層和第 1 層關鍵資源的可疑出站連接。
發佈留言