Napadači ugrađuju zlonamjerni softver u Planer zadataka Windows sistema radi održavanja postojanosti.
Sofisticirani kibernetički napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrio je kako akteri prijetnji iskorištavaju Windows Task Scheduler za održavanje postojanog pristupa kompromitiranim sistemima. Ovo otkriće, koje je objavio Fortinet, naglašava napredne tehnike koje koriste napadači za osiguravanje dugoročne prisutnosti u ciljanim okruženjima. U napadu je korištena zlonamjerna varijanta Havoc frameworka, poznatog alata za post-eksploataciju i komandno-kontrolnu pozadinu, što ukazuje na visok nivo vještine napadača.
Ovaj napad predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, s uspješnim održavanjem produženog pristupa sistemima kroz pažljivo osmišljene mehanizme postojanosti. Način napada uključuje prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), standardna komponenta operativnih sistema Windows još od verzije Windows 7. Ova strateška obmana omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, čime se značajno smanjuje vjerovatnoća otkrivanja od strane alata za nadzor sigurnosti.
Analitičari Fortineta identifikovali su ovaj sofisticirani napad tokom svoje istrage provale usmjerene na kritičnu nacionalnu infrastrukturu Bliskog istoka. Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler-a sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Strategija postojanosti zlonamjernog softvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad počinje izvršavanjem zlonamjerne datoteke prerušene u conhost.exe, pokrenute putem Windows Task Scheduler-a pomoću komandne linije: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar “-f” specificira šifrirani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za injekciju.
Mehanizam injekcije i dešifriranja koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payload-a. Nakon izvršenja, on stvara novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući prividno legitimni proces koji služi kao domaćin za zlonamjerni payload. Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar datoteke conhost.dll, pri čemu se ključ za dešifriranje i vektor inicijalizacije dobijaju iz prvih 48 bajtova DLL datoteke. Proces injekcije koristi niske API-je Windows sistema, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifriranog shellcode-a i Havoc izvršne datoteke u novostvoreni cmd.exe proces. Konačno, zlonamjerni softver uspostavlja izvršavanje putem ZwCreateThreadEx(), stvarajući daljinski nit unutar ciljnog procesa koji izvršava ubrizgani shellcode, čime se efektivno implementira Havoc backdoor, uz zadržavanje izgleda legitimne sistemske aktivnosti.
