查看: 1810|回复: 2
收起左侧

[IT业界] 微软Windows受到Hafnium恶意软件"Tarrask"的集团化攻击

[复制链接]
蓝天二号
发表于 2022-4-13 11:14:25 | 显示全部楼层 |阅读模式
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用"Tarrask"恶意软件来瞄准并不断削弱Windows操作系统的防御能力。
a37c9a3edc67415.png
微软检测和响应小组(DART)在一篇博文中解释说,Hafnium集团正在利用Tarrask这种"防御规避恶意软件"来规避Windows的防御,并确保被破坏的环境保持脆弱。

随着微软继续追踪高优先级的国家支持的威胁行为者HAFNIUM,我们发现了新的活动,利用未修补的零日漏洞作为初始载体。进一步的调查显示了使用Impacket工具执行取证,并发现了一个名为Tarrask的防御规避恶意软件,它创建了"隐藏"的计划任务,并随后采取行动删除任务属性,以掩盖计划任务的传统识别手段。

微软正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统内的新的漏洞。该组织显然是利用了一个以前未知的Windows漏洞,将恶意软件隐藏在"schtasks /query"和任务调度程序中。
f4e009e70452225.png
9c2d09c30f606f3.png
86f6d14a45d3eaa.png
fefa80ade228ef4.png
该恶意软件通过删除相关的安全描述符注册表值成功地逃避了检测。简单地说,一个尚未打补丁的Windows任务调度程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残余尽可能地不显示出相关性,展示出潜伏能力与迷惑性。其结果是,该组织似乎正在使用"隐藏的"计划任务,即使在多次重启后也能保留对被入侵设备的访问。与任何恶意软件一样,即使是Tarrask也会重新建立与指挥和控制(C2)基础设施的中断连接。

微软的DART不仅发出了警告,而且还建议在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中启用"TaskOperational"的日志。这有助于管理员从关键的资产中寻找可疑的出站连接。

了解更多:

https://www.microsoft.com/securi ... or-defense-evasion/
Eunismal
发表于 2022-4-14 16:58:49 | 显示全部楼层
本帖最后由 Eunismal 于 2022-4-14 16:59 编辑

编辑掉
WJF
发表于 2022-4-15 09:12:30 | 显示全部楼层
真是头大
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 21:32 , Processed in 0.131773 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表