Napadači ugrađuju zlonamjerni softver u Task Scheduler Windows sistema radi održavanja upornosti.
Nedavna složena cyber kampanja usmjerena na ključnu nacionalnu infrastrukturu na Bliskom istoku razotkrila je način na koji napadači koriste Windows Task Scheduler za održavanje stalnog pristupa kompromitiranim sistemima. U ovim napadima koristi se zlonamjerna varijanta poznatog Havoc frameworka, koji služi kao alat za post-eskploataciju i komandno-kontrolni “backdoor”, uglavnom napisan u C++ i Go, demonstrirajući napredne tehnike prodora u sistem i dugoročnog opstanka.
Ova kampanja predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu su napadači uspješno zadržali produženi pristup sistemima putem pažljivo osmišljenih mehanizama za održavanje upornosti. Kao vektor napada koristi se prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), sastavni dio Windows operativnih sistema još od Windowsa 7. Ovo strateško prikrivanje omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnost otkrivanja od strane alata za nadzor sigurnosti.
Analitičari iz Fortineta identifikovali su ovu sofisticiranu prijetnju tokom istrage upada u kritičnu nacionalnu infrastrukturu na Bliskom istoku. Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler-a sistema kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili intervencija sigurnosti. Metoda održavanja upornosti koju koristi zlonamjerni softver ukazuje na duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napadači započinju izvršavanjem zlonamjerne datoteke prerušene u conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komandi otkriva naprednu prirodu napada, gdje parametar “-f” označava šifrovani Havoc payload sadržan u conhost.dll, dok parametar “–path” određuje cmd.exe kao ciljni proces za ubrizgavanje.
Mehanizam ubrizgavanja i dešifriranja. Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za implementaciju Havoc payload-a. Nakon izvršavanja, kreira se novi cmd.exe proces koristeći CreateProcessA() API, čime se uspostavlja naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload. Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar conhost.dll datoteke, pri čemu se ključ za dešifriranje i inicijalizacijski vektor izvode iz prvih 48 bajtova DLL datoteke. Proces ubrizgavanja koristi niskonaponske Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubrizgavanje dešifrovanog shellcode-a i Havoc izvršnog fajla u novokreirani cmd.exe proces. Konačno, zlonamjerni softver uspostavlja izvršavanje putem ZwCreateThreadEx(), kreirajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, efektivno implementirajući Havoc backdoor uz zadržavanje privida legitimnih sistemskih aktivnosti.
