對微軟Exchange服務器造成嚴重破壞的臭名昭著的Hafnium黑客組織回來了。但這一次，微軟清楚地知道這個國家支持的威脅行為者團體的活動意圖，該組織正在利用"Tarrask"惡意軟件來瞄準并不斷削弱Windows操作系統(tǒng)的防御能力。

微軟檢測和響應小組（DART）在一篇博文中解釋說，Hafnium集團正在利用Tarrask這種"防御規(guī)避惡意軟件"來規(guī)避Windows的防御，并確保被破壞的環(huán)境保持脆弱。

隨著微軟繼續(xù)追蹤高優(yōu)先級的國家支持的威脅行為者HAFNIUM，我們發(fā)現(xiàn)了新的活動，利用未修補的零日漏洞作為初始載體。進一步的調查顯示了使用Impacket工具執(zhí)行取證，并發(fā)現(xiàn)了一個名為Tarrask的防御規(guī)避惡意軟件，它創(chuàng)建了"隱藏"的計劃任務，并隨后采取行動刪除任務屬性，以掩蓋計劃任務的傳統(tǒng)識別手段。

微軟正在積極跟蹤Hafnium的活動，并意識到該組織正在利用Windows子系統(tǒng)內的新的漏洞。該組織顯然是利用了一個以前未知的Windows漏洞，將惡意軟件隱藏在"schtasks /query"和任務調度程序中。

?

?

?

該惡意軟件通過刪除相關的安全描述符注冊表值成功地逃避了檢測。簡單地說，一個尚未打補丁的Windows任務調度程序錯誤正在幫助惡意軟件清理其蹤跡，并確保其磁盤上的惡意軟件有效殘余盡可能地不顯示出相關性，展示出潛伏能力與迷惑性。其結果是，該組織似乎正在使用"隱藏的"計劃任務，即使在多次重啟后也能保留對被入侵設備的訪問。與任何惡意軟件一樣，即使是Tarrask也會重新建立與指揮和控制（C2）基礎設施的中斷連接。

微軟的DART不僅發(fā)出了警告，而且還建議在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中啟用"TaskOperational"的日志。這有助于管理員從關鍵的資產中尋找可疑的出站連接。

了解更多：

https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/