微軟分析中國駭客組織Hafnium去年8月鎖定電信業、ISP及資料服務供應商的攻擊行動,顯示Hafnium利用開源滲透測試工具Impacket在受害者網路內橫向移動,並使用一隻名為Tarrask的惡意程式躲避防護機制,過程包括建立隱匿式排程、移除Windows的任務屬性,讓Windows傳統偵測方式無法發現到其排程,藉此在系統內長期滲透。(圖片來源/微軟)

微軟發現一隻新惡意程式,能利用Windows排程工具躲避偵測,以便在Windows電腦內長期滲透。

微軟是在中國駭客組織Hafnium從去年8月到今年2月的攻擊行動中,發現到這隻惡意程式。Hafnium正是去年3月攻擊Exchange Server ProxyLogon漏洞的中國駭客組織,此後這組織仍不斷作案,包括去年11月對線上協同工具Zoho 用戶植入Godzilla webshell程式。

Hafnium去年8月起的攻擊行動則鎖定電信業、ISP及資料服務供應商。分析這波攻擊,中國駭客是利用開源滲透測試工具Impacket在受害者網路內橫向移動,並使用一隻名為Tarrask的惡意程式躲避防護機制,過程包括建立隱匿式排程、移除Windows的任務屬性,以便Windows傳統偵測方式無法發現到其排程,藉此在系統內長期滲透。

駭客是利用之前未知的Windows任務排程(Task Scheduler)瑕疵,刪除其中的安全描述(Security Descriptor,SD)的登錄值,使其不被Windows schtask/query指令,以及任務排程發現。由於刪除安全描述值需要System權限,因此Tarrask還先竊取管理令牌以取得lsass.exe行程的安全權限,進而刪除SD值。

刪除SD值後Tarrask就可建立隱藏式排程任務(WinUpdate),並且建立和外部C&C伺服器的連線,還能在重開機後再次建立連線。雖然在這波攻擊中,駭客不知為何在受害系統留下了跡證(即機碼),但微軟表示,如果願意,駭客是可以完全移除這些跡證,但仍然可持續存取受害系統。

微軟認為,任務排程服務是Windows上已運行很久的服務,Hafnium的這波攻擊則展現他們對Windows子系統相當熟悉,還躲在頗為明顯的地方對用戶進行攻擊。研究人員表示,這次使用的手法,對關鍵系統如網域控制器、資料庫伺服器等不常重開機的系統影響尤其嚴重。

除了更新Microsoft Defender 防毒特徵檔,微軟研究人員也建議管理員應列舉(enumerate)出 Windows環境下的機碼登錄庫(registry hive)、找找是否有沒有SD的排程,修改稽核政策以辨識排程任務、啟動任務排程記錄(log)。最後,應留意關鍵系統的對外通訊是否有異常行為。

熱門新聞

Advertisement