Složen napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom Istoku otkrio je kako akteri prijetnji iskorištavaju Windows Task Scheduler za održavanje upornog pristupa kompromitovanim sistemima.
U ovom napadu koristi se zlonamjerna varijanta Havoc frameworka, poznatog komandno-kontrolnog (C2) backdoor-a za post-eksploataciju, primarno napisanog na C++ i Go, demonstrirajući napredne tehnike infiltracije sistema i dugoročnog održavanja prisustva.
Ova kampanja predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu su napadači uspješno održavali produženi pristup sistemima putem pažljivo oblikovanih mehanizama za održavanje prisustva.
Vektor napada koristi prikriveni daljinski injektor koji se lažno predstavlja kao legitimni Windows proces konzole (conhost.exe), koji je standardna komponenta Windows operativnih sistema još od verzije Windows 7.
Ova strateška obmana omogućava zlonamjernom softveru da se neprimjetno uklopi sa legitimnim sistemskim procesima, značajno smanjujući vjerovatnoću otkrivanja od strane alata za nadzor sigurnosti.
Analitičari Fortineta identifikovali su ovaj sofisticirani napad tokom svoje istrage upada ciljanog na kritičnu nacionalnu infrastrukturu Bliskog Istoka.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler-a sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija.
Strategija održavanja prisustva ovog zlonamjernog softvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad počinje izvršavanjem zlonamjerne datoteke maskirane kao conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`.
Ova struktura komandi otkriva sofisticiranu prirodu napada, gdje parametar „-f“ specificira šifrovani Havoc payload sadržan u conhost.dll, dok parametar „–path“ označava cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifriranja
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za raspoređivanje Havoc payload-a.
Nakon izvršenja, kreira novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload.
Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar datoteke conhost.dll, sa ključem za dešifriranje i vektorom inicijalizacije izvedenim iz prvih 48 bajtova datoteke DLL.
Proces ubrizgavanja koristi nisko-nivone Windows API-je uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory() za ubrizgavanje dešifrovanog shellcode-a i Havoc izvršnog fajla u novokreirani cmd.exe proces.
Konačno, zlonamjerni softver uspostavlja izvršenje putem ZwCreateThreadEx(), kreirajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, efikasno raspoređujući Havoc backdoor uz održavanje izgleda legitimne sistemske aktivnosti.
