Napadači ugrađuju malver u Zakazivač zadataka sistema Windows radi održavanja postojanosti
Sofisticirani sajber napad usmjeren na kritičnu nacionalnu infrastrukturu na Bliskom istoku otkrio je kako akteri prijetnje koriste Windows Task Scheduler (Zakazivač zadataka) za održavanje postojanog pristupa kompromitovanim sistemima. Ovaj napad uključuje zlonamjernu varijantu Havoc frameworka, poznate pozadinske komandno-kontrolne (C2) alatke primarno razvijene u C++ i Go, demonstrirajući napredne tehnike za infiltraciju sistema i dugotrajnu postojanost.
Ova kampanja predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu su napadači uspješno održavali produženi pristup sistemima kroz pažljivo osmišljene mehanizme postojanosti. U napadu se koristi prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), standardna komponenta Windows operativnih sistema još od verzije Windows 7. Ovakva strateška obmana omogućava malveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnoću otkrivanja od strane alata za nadzor bezbjednosti.
Analitičari kompanije Fortinet identifikovali su ovaj sofisticirani napad tokom istrage upada u kritičnu nacionalnu infrastrukturu na Bliskom istoku. Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Zakazivača zadataka sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Metod postojanosti malvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad počinje izvršavanjem zlonamjernog fajla prerušenog u conhost.exe, koji se pokreće putem Zakazivača zadataka koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komande otkriva sofisticiranost napada, gdje parametar “-f” specificira enkriptovani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za injekciju.
Mehanizam injekcije i dekripcije
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payload-a. Nakon izvršavanja, kreira novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload. Zatim, injektor dešifruje Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll fajla, pri čemu se ključ za dešifriranje i inicijalizacijski vektor dobijaju iz prvih 48 bajtova DLL fajla. Proces injekcije koristi nisko-nivone Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), kako bi ubrizgao dešifrovani shellcode i Havoc izvršni fajl u novokreirani cmd.exe proces. Na kraju, malver uspostavlja izvršavanje putem ZwCreateThreadEx(), kreirajući daljinski nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, čime efektivno raspoređuje Havoc pozadinu zadržavajući izgled legitimnih sistemskih aktivnosti.
Ovo upozorenje, objavljeno na platformama poput bloga kompanije Fortinet i prenijeto na bezbjednosnim portalima, skreće pažnju na sve sofisticiranije metode koje koriste sajber kriminalci. Oni iskorištavaju legitimne Windows funkcije, kao što je Task Scheduler, kako bi ostali neprimijećeni i zadržali dugoročni pristup kompromitovanim sistemima, što je posebno zabrinjavajuće kada su ciljevi kritične nacionalne infrastrukture.
Metodologija napada uključuje prerušavanje zlonamjernog softvera u legitimni proces `conhost.exe`. Ovo se postiže korišćenjem specifične komandne linije pri pokretanju putem Task Scheduler-a, gdje parametar `-f conhost.dll` ukazuje na učitavanje zlonamjernog koda iz datoteke `conhost.dll`, dok parametar `–path cmd.exe` instruira malver da se ubrizga u proces `cmd.exe`. Sama datoteka `conhost.dll` sadrži šifrovani payload i mehanizam za dekripciju, koji koristi podatke iz prvih 48 bajtova fajla za dobijanje ključeva za dešifriranje. Nakon dekripcije, shellcode se ubrizgava u proces `cmd.exe` koristeći niske Windows API funkcije poput `ZwAllocateVirtualMemory` i `ZwWriteVirtualMemory`, nakon čega se izvršavanje pokreće kroz `ZwCreateThreadEx`. Ovaj složeni proces osigurava da malver nesmetano funkcioniše u pozadini, imitirajući normalne sistemske aktivnosti i time izbjegavajući detekciju.
Ovakav način napada, gdje se iskorištavaju postojeći sistemski alati i procesi, otežava otkrivanje jer se zlonamjerne aktivnosti miješaju sa redovnim operacijama. Napadači ne moraju nužno “mamiti” korisnike u klasičnom smislu (kao kod phishing mejlova), već njihova strategija leži u potpunoj kontroli nad sistemom nakon početne infiltracije, bilo putem drugog vektora napada ili kompromitovanjem samog sistema koji onda koriste za daljnje širenje i održavanje pristupa. U ovom slučaju, meta je kritična infrastruktura, što ukazuje na potencijalno značajne posljedice po nacionalnu bezbjednost.
