惡意程式Tarrask利用Windows排程工具躲避偵測

微軟發現一隻新惡意程式，能利用Windows排程工具躲避偵測，以便在Windows電腦內長期滲透。

微軟是在中國駭客組織Hafnium從去年8月到今年2月的攻擊行動中，發現到這隻惡意程式。Hafnium正是去年3月攻擊Exchange Server ProxyLogon漏洞的中國駭客組織，此後這組織仍不斷作案，包括去年11月對線上協同工具Zoho 用戶植入Godzilla webshell程式。

Hafnium去年8月起的攻擊行動則鎖定電信業、ISP及資料服務供應商。分析這波攻擊，中國駭客是利用開源滲透測試工具Impacket在受害者網路內橫向移動，並使用一隻名為Tarrask的惡意程式躲避防護機制，過程包括建立隱匿式排程、移除Windows的任務屬性，以便Windows傳統偵測方式無法發現到其排程，藉此在系統內長期滲透。

駭客是利用之前未知的Windows任務排程（Task Scheduler）瑕疵，刪除其中的安全描述（Security Descriptor，SD）的登錄值，使其不被Windows schtask/query指令，以及任務排程發現。由於刪除安全描述值需要System權限，因此Tarrask還先竊取管理令牌以取得lsass.exe行程的安全權限，進而刪除SD值。

刪除SD值後Tarrask就可建立隱藏式排程任務（WinUpdate），並且建立和外部C&C伺服器的連線，還能在重開機後再次建立連線。雖然在這波攻擊中，駭客不知為何在受害系統留下了跡證（即機碼），但微軟表示，如果願意，駭客是可以完全移除這些跡證，但仍然可持續存取受害系統。

微軟認為，任務排程服務是Windows上已運行很久的服務，Hafnium的這波攻擊則展現他們對Windows子系統相當熟悉，還躲在頗為明顯的地方對用戶進行攻擊。研究人員表示，這次使用的手法，對關鍵系統如網域控制器、資料庫伺服器等不常重開機的系統影響尤其嚴重。

除了更新Microsoft Defender 防毒特徵檔，微軟研究人員也建議管理員應列舉（enumerate）出 Windows環境下的機碼登錄庫（registry hive）、找找是否有沒有SD的排程，修改稽核政策以辨識排程任務、啟動任務排程記錄（log）。最後，應留意關鍵系統的對外通訊是否有異常行為。