如何偵測使用錯誤以避免檢測的 Windows Tarrask 惡意軟體

微軟於 2022 年 4 月 12 日在其安全網站上發布了有關一種新惡意軟體的資訊。該惡意軟體名為 Tarrask，利用 Windows 任務調度系統中的漏洞來逃避偵測。

Tarrask 被駭客組織 Hafnium 使用，該組織過去針對電信、網路服務供應商和資料服務部門。

該組織利用零時差漏洞攻擊電腦系統。一旦系統被成功攻擊，Windows 中的漏洞就會被用來隱藏惡意軟體的蹤跡並使偵測更加困難。 Tarrask 使用該錯誤建立隱藏的排程任務，以避免偵測，也可能用於持久性。

系統和應用程式使用 Windows 工作排程器來啟動任務，例如檢查更新或執行維護作業。應用程式可以將任務添加到任務計劃程序，前提是它們以足夠的權限執行。根據微軟的說法，惡意軟體經常使用任務來「在 Windows 環境中保持持久性」。

可以透過在 Windows 上啟動任務排程器工具來分析任務。 Tarrask 使用一個錯誤來隱藏它的任務，並使用命令列選項“schtasks /query”，它傳回一個存在的計劃任務清單。為避免偵測，Tarrask 會刪除 Windows 登錄中任務的安全性描述符值；這會導致任務從任務排程器和命令列工具中消失。換句話說：使用任何一種工具仔細檢查所有任務都不會發現惡意任務。

在 Windows 系統上偵測 Tarrask

該惡意軟體不會完全刪除任務訊息，因為它的痕跡仍記錄在系統登錄中。微軟懷疑駭客組織將資料留在註冊表中以使惡意軟體持久存在，或者該組織不知道在刪除 SD 元件後該任務將「繼續運行」。

Windows 管理員可能會分析系統登錄中的排程任務訊息，以確定係統是否感染了Tarrask 惡意軟體：

1. 使用鍵盤快捷鍵Windows-R 顯示運行框。
2. 鍵入 regedit.exe 並按 Enter 鍵。
3. 導覽至路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\。您將獲得系統上存在的計劃任務清單。
4. 遍歷每項任務以確定是否列出了沒有 SD 值的任務。

如果找到沒有 SD 值的任務，則它是一個隱藏任務，不會顯示在任務排程器或命令列公用程式中。該任務無法正常刪除，因為它是在 SYSTEM 用戶的上下文中運行的。嘗試刪除任務將會失敗，並顯示拒絕存取錯誤訊息。

Microsoft 的 Windows Defender 安全應用程式的最新版本偵測到惡意軟體。微軟為 Windows Defender 新增了一個新的觀察事件，用於偵測隱藏任務；這些被標記為 Behavior:Win32/ScheduledTaskHide.A 然後由應用程式。

Microsoft 建議系統管理員採用以下建議和安全準則來偵測使用攻擊媒介的惡意軟體：

枚舉您的Windows 環境登錄配置單元，查看HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree 登錄機碼配置單元，並識別任務鍵中沒有SD（安全性描述符）值的任何排程任務。根據需要對這些任務進行分析。

透過在 Microsoft-Windows-TaskScheduler/Operational 中啟用記錄「TaskOperational」來修改您的審核原則以識別排程任務操作。應用適合您環境的推薦 Microsoft 審核策略設定。

啟用並集中以下任務規劃程式日誌。即使任務是“隱藏的”，這些日誌也會追蹤與它們相關的關鍵事件，這可能會導致您在Security.evtx 日誌 Microsoft-Windows-TaskScheduler/Operational.evtx 日誌中發現隱藏良好的持久性機制
事件ID 4698

此活動中的威脅參與者使用隱藏的計劃任務透過定期重新建立與 C&C 基礎設施的出站通訊來維持對暴露在互聯網上的關鍵資產的存取。透過確保對這些關鍵第 0 層和第 1 層資產的這些連接進行監控和警報，保持警惕並監控出站通訊的異常行為。

以上是如何偵測使用錯誤以避免檢測的 Windows Tarrask 惡意軟體的詳細內容。更多資訊請關注PHP中文網其他相關文章！