Detecção de Malware Tarrask: Ferramenta de Evasão de Defesa para Abusar de Tarefas Agendadas
Índice:
O coletivo apoiado pela China, chamado Hafnium (às vezes referido como APT), foi flagrado lançando ataques a dispositivos que executam Windows. A ferramenta que eles usaram para gerar tarefas agendadas “ocultas” e estabelecer persistência dentro das instâncias do Windows sob ataque é apelidada de malware Tarrask. Especialistas relatam sobre provedores de Internet e dados sendo atacados extensivamente, dentro do período de ataque mais ativo entre o final do verão de 2021 e o início da primavera de 2022.
Detectar Malware Tarrask
A seguinte regra baseada em Sigma, liberada pelo desenvolvedor do Threat Bounty da SOC Prime Aytek Aytemur detecta a presença do malware Tarrask no seu sistema, identificando métodos usados para limpar SD no Prompt de Comando:
Essa detecção está disponível para 21 plataformas SIEM, EDR & XDR.
A regra está alinhada com a versão mais recente do framework MITRE ATT&CK® v.10, abordando a tática de Execução com Interprete de Comando e Script (T1059) e Tarefa/Trabalho Agendado (T1053) como técnicas principais.
Para detectar se o seu sistema foi comprometido com novas cepas maliciosas devastadoras, verifique a lista completa de regras disponíveis na plataforma SOC Prime. Você é um caçador de ameaças profissional? Torne-se parte de nossa iniciativa de crowdsourcing que traz recompensas e reconhecimento contínuos com o programa Threat Bounty.
Ver Detecções Junte-se ao Threat Bounty
O que é o Malware Tarrask?
O Tarrask é projetado para abusar do Agendador de Tarefas do Windows, uma ferramenta útil para agendamento automático de tarefas para necessidades administrativas.
A nova cepa maliciosa detectada cria tarefas agendadas que são difíceis de detectar, juntamente com um conjunto de ferramentas que abusam do comando SCHTASKS ou do aplicativo Agendador de Tarefas. Aproveitando este malware, os adversários adicionam novas chaves de registro nos caminhos escolhidos, Tree e Tasks, ao criar uma nova tarefa. Adversários mantêm uma persistência furtiva na infraestrutura invadida, garantindo que as atividades maliciosas de Tarrask permaneçam fora do radar do usuário.
Gangue Hafnium Afiliada à China: Vetores de Ataque
Os ataques do malware Tarrask são realizados pelo Hafnium, um agente de ameaça apoiado pelo estado que opera a partir da China, pesquisadores da Microsoft reportam. Os ataques analisados dentro de um período de meio ano mostram que os hackers do Hafnium têm uma compreensão profunda do subsistema Windows e aproveitam esse conhecimento para ocultar sua atividade maliciosa em pontos finais infectados enquanto estabelecem persistência.
A Microsoft tem seguido de perto as operações do Hafnium desde o abuso dos adversários do Microsoft Exchange Server, e o componente do serviço de tarefas agendadas se tornando uma presa fácil e desejada para a gangue. Além disso, o vetor inicial de ataque favorito do Hafnium é explorar falhas zero-day não corrigidas, implantar malware e construir um mecanismo de persistência elaborado.
Para melhorar a ciberdefesa de sua organização contra esta ou outras ameaças existentes ou futuras, inscreva-se para a plataforma Detection as Code da SOC Prime. Caçar ameaças dentro do seu ambiente de segurança e melhorar a fonte de logs e cobertura MITRE ATT&CK para elevar sua defesa contra ataques a um novo nível.
