Как обнаружить стойкую угрозу Tarrask в Windows

Tarrask используется хакерской группой Hafnium, которая в прошлом нацеливала свои атаки на телекоммуникационные компании, интернет-провайдеров и сектор услуг передачи данных.

Для своих атак группировка использует уязвимости нулевого дня, чтобы проникнуть в компьютерные системы. После успешной атаки на устройства Windows используется системный баг, чтобы скрыть следы вредоносного ПО и затруднить его обнаружение. Tarrask использует ошибку для создания скрытых запланированных задач, чтобы избежать обнаружения и прописаться в системе на постоянной основе.

Планировщик заданий Windows используется системой и приложениями для запуска периодических задач, например, для проверки обновлений или выполнения операций обслуживания. Приложения могут добавлять задачи в планировщик заданий при условии, что они выполняются с достаточными для этого правами. По словам Microsoft, вредоносное ПО часто использует задачи для «поддержания устойчивости в среде Windows».

Пользователь может проанализировать задачи, запустив планировщик заданий. Однако, Tarrask использует баг планировщика, чтобы скрыть свою задачу от инструмента и от консольной команды schtasks /query, которая возвращает список существующих запланированных задач. Чтобы избежать обнаружения, Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. Другими словами: тщательная проверка всех задач с помощью любого из инструментов не выявит вредоносных задач.

Как обнаружить Tarrask в системах Windows

Вредоносная программа не удаляет информацию о задаче полностью и ее следы все еще можно найти в системном реестре. Microsoft подозревает, что хакерская группа оставила данные в реестре, чтобы сделать вредоносное ПО постоянным. Киберпреступники не знали, что задача «продолжит выполняться» после удаления компонента SD.

Администраторы Windows могут анализировать информацию о запланированных задачах в системном реестре, чтобы выяснить, заражена ли система вредоносным ПО Tarrask:

• Используйте сочетание клавиш Windows + R, чтобы отобразить окно «Выполнить».
• Введите regedit.exe и нажмите клавишу Enter.
• Перейдите по пути

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\

• Отобразится список запланированных задач, существующих в системе.
• Просмотрите каждую задачу, чтобы определить, указана ли она без значения SD.

Если задание без значения SD найдено, то это скрытое задание, которое не отображается в планировщике заданий или утилите командной строки. Задача не может быть удалена обычным образом, так как она выполняется в контексте пользователя SYSTEM. Попытки удалить задачу завершатся ошибкой отказа в доступе.

Последняя версия приложения безопасности Microsoft Defender обнаруживает вредоносное ПО. Microsoft добавила в Защитник Windows новое событие наблюдения, которое обнаруживает скрытые задачи — они помечаются приложением как Behavior:Win32/ScheduledTaskHide.A.

Microsoft  рекомендует администраторам принять следующие рекомендации по безопасности для обнаружения вредоносных программ, использующих этот вектор атаки:

• Просмотрите раздел реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

• и попытайтесь найти задания без значения SD (Security Descriptor). При необходимости выполните анализ этих задач.
• Измените свою политику аудита, чтобы идентифицировать действия запланированных задач, включив ведение журнала «TaskOperational» в Microsoft-Windows-TaskScheduler/Operational. Примените рекомендуемые параметры политики аудита, подходящие для вашей среды.
• Включите и анализируйте следующие журналы планировщика заданий. Даже если задачи «скрыты», эти журналы отслеживают ключевые события, связанные с ними, которые могут привести вас к обнаружению хорошо скрытого механизма сохраняемости.
  • Event ID 4698 в журнале Security.evtx
  • Журнал Microsoft-Windows-TaskScheduler/Operational.evtx

• Злоумышленники в этой кампании использовали скрытые запланированные задачи для поддержания доступа к критически важным компонентам, регулярно восстанавливая исходящие связи с инфраструктурой командного сервера. Сохраняйте бдительность и отслеживайте необычное поведение исходящих сообщений, обеспечив мониторинг и оповещение об этих подключениях от этих критически важных ресурсов уровня 0 и уровня 1.

Другие вредоносные программы также могут воспользоваться данной ошибкой планировщика, чтобы избежать обнаружения.