This post is also available in: Português
A equipe de detecção e resposta da Microsoft (DART) e a central de inteligência contra ameaças da empresa (MSTIC) identificaram um novo ataque direcionado contra o sistema operacional Windows, que explora uma vulnerabilidade que antes era desconhecida pela companhia. A ferramenta utilizada se chama Tarrask e o grupo responsável pela invasão é o HAFNIUM, uma organização de origem chinesa e ligada ao governo local.
A Microsoft observou o grupo HAFNIUM de agosto de 2021 a fevereiro de 2022, visando os setores de telecomunicações, provedor de serviços de Internet e serviços de dados, expandindo os setores direcionados observados em suas operações anteriores realizadas na primavera de 2021. Eles teriam sido os responsáveis por um ataque aos servidores da Microsoft e também ao Microsoft Exchange. O país rejeitou todas as acusações de conexão com os cibercriminosos.
Como funciona?
O grupo usa vulnerabilidades de dia zero para que seus ataques entrem em sistemas de computador. Depois que um sistema é atacado com sucesso, um bug no Windows é usado para ocultar rastros do malware e dificultar a detecção. O Tarrask usa o bug para criar tarefas agendadas que estão ocultas para evitar detecção e provavelmente também para persistência.
O Agendador de Tarefas do Windows é usado pelo sistema e pelos aplicativos para iniciar tarefas, por exemplo, para verificar atualizações ou executar operações de manutenção. Os aplicativos podem adicionar tarefas ao Agendador de Tarefas, desde que sejam executados com direitos suficientes para isso. O malware usa tarefas com frequência, segundo a Microsoft, para “manter a persistência em um ambiente Windows”.
As tarefas podem ser analisadas iniciando a ferramenta Agendador de Tarefas no Windows. O Tarrask usa um bug para ocultar sua tarefa da ferramenta e também a opção de linha de comando “schtasks /query”, que retorna uma lista de tarefas agendadas que existem. Para evitar a detecção, o Tarrask exclui o valor do Descritor de Segurança da tarefa no Registro do Windows; isso resulta no desaparecimento da tarefa do Agendador de Tarefas e da ferramenta de linha de comando. Em outras palavras: a inspeção cuidadosa de todas as tarefas usando qualquer uma das ferramentas não revelará as tarefas maliciosas.
Detectando o Tarrask em sistemas Windows
O malware não remove totalmente as informações da tarefa, pois seus vestígios ainda são registrados no Registro do sistema. A Microsoft suspeita que o grupo de hackers deixou os dados no Registro para tornar o malware persistente ou que o grupo não sabia que a tarefa “continuaria em execução” após a remoção do componente SD.
Os administradores do Windows podem analisar as informações da tarefa agendada no Registro do sistema para descobrir se um sistema está infectado com o malware Tarrask:
- 1. Use o atalho de teclado Windows-R para exibir a caixa de execução.
- 2. Digite regedit.exe e pressione a tecla Enter.
- 3. Navegue até o caminho HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\. Você obtém a lista de tarefas agendadas que existem no sistema.
- 4. Percorra cada tarefa para determinar se uma está listada sem valor SD.
- Enumere os hives do registro do ambiente Windows procurando no hive do registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree e identifique quaisquer tarefas agendadas sem o valor SD (descritor de segurança) na chave de tarefa. Realize análises sobre essas tarefas conforme necessário;
- Modifique sua política de auditoria para identificar ações de Tarefas Agendadas habilitando o log “TaskOperational” no Microsoft-Windows-TaskScheduler/Operational. Aplique as configurações recomendadas de política de auditoria da Microsoft adequadas ao seu ambiente;
- Habilite e centralize os seguintes logs do Agendador de Tarefas. Mesmo que as tarefas estejam ‘ocultas’, esses logs rastreiam os principais eventos relacionados a elas que podem levar você a descobrir um mecanismo de persistência bem oculto:
-ID do evento 4698 no log Security.evtx
– Log do Microsoft-Windws-TaskScheduler/Operational.evtx; - Os agentes de ameaças nesta campanha usaram tarefas agendadas ocultas para manter o acesso a ativos críticos expostos à Internet, restabelecendo regularmente as comunicações de saída com a infraestrutura C&C. Portanto, permaneça vigilante e monitore o comportamento incomum de suas comunicações de saída, garantindo que o monitoramento e alerta para essas conexões desses ativos críticos de Nível 0 e Nível 1 estejam em vigor.
Recomendações e orientações
Se uma tarefa sem valor SD for encontrada, é uma tarefa oculta que não é exibida no Agendador de Tarefas ou no utilitário de linha de comando. A tarefa não pode ser excluída normalmente, pois está sendo executada no contexto do usuário SYSTEM. As tentativas de excluir a tarefa falharão com uma mensagem de erro de acesso negado.
A última versão do aplicativo de segurança Windows Defender da Microsoft detecta o malware. A Microsoft adicionou um novo evento de observação ao Windows Defender que detecta tarefas ocultas; estes são sinalizados como Behavior:Win32/ScheduledTaskHide.A pelo aplicativo.
A Microsoft recomenda que os administradores de sistema adotem as seguintes recomendações e diretrizes de segurança para detectar malware que está usando o vetor de ataque:
Fonte: Microsoft.
This post is also available in: Português
