
微軟Windows受到Hafnium惡意軟件"Tarrask"的集團(tuán)化攻擊
聲明:該文章來(lái)自(cnbeta)版權(quán)由原作者所有,K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。
對(duì)微軟Exchange服務(wù)器造成嚴(yán)重破壞的臭名昭著的Hafnium黑客組織回來(lái)了。但這一次,微軟清楚地知道這個(gè)國(guó)家支持的威脅行為者團(tuán)體的活動(dòng)意圖,該組織正在利用"Tarrask"惡意軟件來(lái)瞄準(zhǔn)并不斷削弱Windows操作系統(tǒng)的防御能力。
微軟檢測(cè)和響應(yīng)小組(DART)在一篇博文中解釋說(shuō),Hafnium集團(tuán)正在利用Tarrask這種"防御規(guī)避惡意軟件"來(lái)規(guī)避Windows的防御,并確保被破壞的環(huán)境保持脆弱。
隨著微軟繼續(xù)追蹤高優(yōu)先級(jí)的國(guó)家支持的威脅行為者HAFNIUM,我們發(fā)現(xiàn)了新的活動(dòng),利用未修補(bǔ)的零日漏洞作為初始載體。進(jìn)一步的調(diào)查顯示了使用Impacket工具執(zhí)行取證,并發(fā)現(xiàn)了一個(gè)名為T(mén)arrask的防御規(guī)避惡意軟件,它創(chuàng)建了"隱藏"的計(jì)劃任務(wù),并隨后采取行動(dòng)刪除任務(wù)屬性,以掩蓋計(jì)劃任務(wù)的傳統(tǒng)識(shí)別手段。
微軟正在積極跟蹤Hafnium的活動(dòng),并意識(shí)到該組織正在利用Windows子系統(tǒng)內(nèi)的新的漏洞。該組織顯然是利用了一個(gè)以前未知的Windows漏洞,將惡意軟件隱藏在"schtasks /query"和任務(wù)調(diào)度程序中。
?
?
?
該惡意軟件通過(guò)刪除相關(guān)的安全描述符注冊(cè)表值成功地逃避了檢測(cè)。簡(jiǎn)單地說(shuō),一個(gè)尚未打補(bǔ)丁的Windows任務(wù)調(diào)度程序錯(cuò)誤正在幫助惡意軟件清理其蹤跡,并確保其磁盤(pán)上的惡意軟件有效殘余盡可能地不顯示出相關(guān)性,展示出潛伏能力與迷惑性。其結(jié)果是,該組織似乎正在使用"隱藏的"計(jì)劃任務(wù),即使在多次重啟后也能保留對(duì)被入侵設(shè)備的訪問(wèn)。與任何惡意軟件一樣,即使是Tarrask也會(huì)重新建立與指揮和控制(C2)基礎(chǔ)設(shè)施的中斷連接。
微軟的DART不僅發(fā)出了警告,而且還建議在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中啟用"TaskOperational"的日志。這有助于管理員從關(guān)鍵的資產(chǎn)中尋找可疑的出站連接。
了解更多:
https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/
- 1 習(xí)近平接見(jiàn)新疆各族各界代表 7904662
- 2 樺加沙風(fēng)眼內(nèi)部曝光 拍攝部門(mén):震撼 7809642
- 3 飛機(jī)狂風(fēng)中降落 機(jī)翼險(xiǎn)些砸地 7712513
- 4 援疆的山海深情 跨越千里萬(wàn)里 7618284
- 5 馬克龍被美警察攔下 當(dāng)場(chǎng)打給特朗普 7520190
- 6 臺(tái)風(fēng)“樺加沙”影響有多大?解讀來(lái)了 7423795
- 7 珠海多區(qū)倡議沿海高層住宅居民撤離 7332982
- 8 廣東一地安排農(nóng)民工住進(jìn)學(xué)校避臺(tái)風(fēng) 7231988
- 9 上海再通報(bào)多校午餐發(fā)臭:涉嫌瞞報(bào) 7138276
- 10 深圳機(jī)場(chǎng)飛機(jī)被“五花大綁”防臺(tái)風(fēng) 7045301