Napadači sve češće ubacuju zlonamjerni softver u Task Scheduler Windows sistema radi održavanja upornosti.
Sofisticirani kibernetički napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrio je načine na koje napadači iskorištavaju Windows Task Scheduler za održavanje upornog pristupa kompromitovanim sistemima. Ovaj napad uključuje zlonamjernu varijantu Havoc frameworka, poznatog post-eksploatacijskog komandno-kontrolnog backdoor-a, primarno napisanog u C++ i Go, demonstrirajući napredne tehnike za infiltraciju sistema i dugotrajno održavanje prisustva.
Kampanja zlonamjernog softvera predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu su napadači uspješno održavali produženi pristup sistemima putem pažljivo osmišljenih mehanizama za upornost. Vektor napada koristi prerušeni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), standardna komponenta Windows operativnih sistema od Windowsa 7. Ovakvo strateško prikrivanje omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnoću otkrivanja od strane alata za nadzor sigurnosti.
Analitičari kompanije Fortinet identificirali su ovaj sofisticirani napad tokom istrage proboja usmjerenog na kritičnu nacionalnu infrastrukturu na Bliskom istoku. Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler-a sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Strategija upornosti zlonamjernog softvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad započinje izvršavanjem zlonamjerne datoteke prerušene kao conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar “-f” specificira šifrovani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za injekciju.
Mehanizam injekcije i dešifriranja: Daljinski injektor koristi napredne tehnike injekcije procesa za raspoređivanje Havoc payload-a. Nakon izvršenja, on stvara novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući prividno legitimni proces koji služi kao domaćin zlonamjernog payload-a. Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll datoteke, sa ključem za dešifriranje i inicijalizacijskim vektorom izvedenim iz prvih 48 bajtova DLL datoteke. Proces injekcije koristi niske Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifriranog shellcode-a i Havoc izvršne datoteke u novostvoreni cmd.exe proces. Konačno, zlonamjerni softver uspostavlja izvršavanje putem ZwCreateThreadEx(), stvarajući udaljenu nit unutar ciljnog procesa koja izvršava injektirani shellcode, efektivno raspoređujući Havoc backdoor uz održavanje izgleda legitimne sistemske aktivnosti.
