Tarrask Malware-Erkennung: Verteidigungsumgehungstool zur Ausnutzung geplanter Aufgaben

Das von China unterstützte Kollektiv Hafnium (manchmal auch als APT bezeichnet) wurde dabei beobachtet, wie es Angriffe auf Geräte startete, die Windows ausführen. Das Tool, das sie verwendeten, um „versteckte“ geplante Aufgaben zu generieren und Persistenz innerhalb der angegriffenen Windows-Instanzen herzustellen, wird als Tarrask-Malware bezeichnet. Experten berichten über umfangreiche Angriffe auf Internet- und Datenanbieter, wobei der aktivste Angriffszeitraum zwischen Spätsommer 2021 und Frühling 2022 liegt.

Erkennen von Tarrask-Malware

Die folgende Sigma-basierte Regel, die von SOC Primes Threat Bounty-Entwickler Aytek Aytemur veröffentlicht wurde, erkennt die Präsenz von Tarrask-Malware in Ihrem System, indem sie Methoden zur Löschung von SD im Eingabeaufforderungsfenster identifiziert:

Bösartige Ausführung von Tarrask-Malware durch Erkennung zugehöriger Dateien und Befehle (über cmdline)

Diese Erkennung ist für 21 SIEM-, EDR- und XDR-Plattformen verfügbar.

Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und adressiert die Ausführungstaktik mit Kommando- und Skriptinterpreter (T1059) sowie geplante Aufgabe/Job (T1053) als primäre Techniken.

Um festzustellen, ob Ihr System mit neuartigen, verheerenden bösartigen Varianten kompromittiert wurde, prüfen Sie die vollständige Liste der Regeln, die auf der SOC Prime-Plattform verfügbar sind. Sind Sie ein professioneller Bedrohungsjäger? Werden Sie Teil unserer Crowdsourcing-Initiative, die kontinuierliche Belohnungen und Anerkennung mit dem Threat Bounty-Programm bietet.

Erkennungen anzeigen An Threat Bounty teilnehmen

Was ist die Tarrask-Malware?

Tarrask ist so konzipiert, dass es den Windows Task Scheduler missbraucht, ein praktisches Tool zur Aufgabenplanung, das automatische geplante Aufgaben für Administratorbedürfnisse ermöglicht.

Der neu entdeckte bösartige Programmstamm erstellt geplante Aufgaben, die schwer zu erkennen sind, zusammen mit einem Satz von Tools, die das SCHTASKS-Befehlszeilenwerkzeug oder die Task Scheduler-Anwendung ausnutzen. Gegner fügen mithilfe dieser Malware neue Registrierungswerte innerhalb der gewählten Pfade, Baum und Aufgaben, bei Erstellung einer neuen Aufgabe hinzu. Gegner behalten eine versteckte Persistenz in der kompromittierten Infrastruktur bei, um sicherzustellen, dass die bösartigen Aktivitäten von Tarrask unter dem Radar des Benutzers bleiben.

China-verbundene Hafnium-Bande: Angriffsvektoren

Tarrask-Malware-Angriffe werden von Hafnium, einem staatlich unterstützten Bedrohungsakteur, der aus China operiert, durchgeführt, berichten Microsoft-Forscher. Ein Bericht. Die analysierten Angriffe innerhalb eines halben Jahres zeigen, dass Hafnium-Hacker ein tiefes Verständnis des Windows-Subsystems haben und dieses Wissen nutzen, um ihre bösartigen Aktivitäten auf infizierten Endpunkten zu verbergen und gleichzeitig Persistenz aufzubauen.

Microsoft verfolgt die Operationen von Hafnium genau, seit die Gegner den Missbrauch des Microsoft Exchange Servers begangen haben und der Dienstkomponente für geplante Aufgaben zu einem leichten und begehrten Ziel für die Bande geworden ist. Zudem besteht der bevorzugte anfängliche Angriffsvektor von Hafnium darin, ungepatchte Zero-Day-Schwachstellen auszunutzen, Malware bereitzustellen und einen ausgeklügelten Persistenzmechanismus aufzubauen.

Um die Cyberverteidigung Ihrer Organisation gegen diese oder andere bestehende oder bevorstehende Bedrohungen zu verbessern, registrieren Sie sich für die SOC Primes Detection as Code-Plattform. Jagen Sie Bedrohungen in Ihrer Sicherheitsumgebung und verbessern Sie die Protokollquellen- und MITRE ATT&CK-Abdeckung, um Ihre Verteidigung gegen Angriffe auf die nächste Stufe zu heben.