Un sofisticado ataque cibernético dirigido a la infraestructura nacional crítica en el Medio Oriente ha revelado cómo los actores de amenaza están aprovechando el programador de tareas de Windows para mantener el acceso persistente a los sistemas comprometidos.
El ataque implica una variante maliciosa del marco Havoc, un conocido comando posterior a la explotación y control de puerta trasera escrita principalmente en C ++ y GO, demostrando técnicas avanzadas para la infiltración del sistema y la persistencia a largo plazo.
La campaña de malware representa una escalada significativa para atacar la infraestructura crítica, y los atacantes mantienen con éxito el acceso prolongado a los sistemas a través de mecanismos de persistencia cuidadosamente elaborados.
El vector de ataque utiliza un inyector remoto disfrazado disfrazado de el proceso legítimo de la consola de Windows (Conhost.exe), que ha sido un componente estándar de los sistemas operativos de Windows desde Windows 7.
Información de ayuda para el inyector remoto (fuente – Fortinet)
Este engaño estratégico permite que el malware se mezcle sin problemas con los procesos legítimos del sistema, reduciendo significativamente la probabilidad de detección por las herramientas de monitoreo de seguridad.
Analistas de Fortinet identificado Este ataque sofisticado durante su investigación sobre la intrusión dirigida a la infraestructura nacional crítica de Medio Oriente.
Los investigadores descubrieron que los atacantes habían colocado estratégicamente múltiples componentes maliciosos dentro del programador de tareas del sistema para garantizar el acceso continuo incluso después de reiniciar el sistema o intervenciones de seguridad.
La estrategia de persistencia del malware demuestra una comprensión profunda de la arquitectura del sistema de Windows y los mecanismos de seguridad.
El ataque comienza con la ejecución de un archivo malicioso disfrazado de conhost.exe, lanzado a través del programador de tareas de Windows utilizando la línea de comando: c: \ windows \ system32 \ controls \ conhost.exe -f conhost.dll -er –ln -path cmd.exe.
Vista de memoria de la carga útil de conhost descriptada (fuente – Fortinet) .jpeg
Esta estructura de comando revela la naturaleza sofisticada del ataque, donde el parámetro “-F” especifica la carga útil de HAVOC cifrada contenida en conhost.dll, mientras que el parámetro “–path” designa cmd.exe como el proceso objetivo de inyección.
Mecanismo de inyección y descifrado
El inyector remoto emplea técnicas avanzadas de inyección de procesos para implementar la carga útil de HAVOC.
Tras la ejecución, crea un nuevo proceso CMD.EXE utilizando la API CreateProcessa (), estableciendo un proceso aparentemente legítimo que sirve como el anfitrión de la carga útil maliciosa.
El inyector luego descifra el agente HAVOC que usa el código de sellado integrado dentro del archivo conhost.dll, con la clave de descifrado y el vector de inicialización derivado de los primeros 48 bytes del archivo DLL.
El proceso de inyección utiliza API de Windows de bajo nivel que incluyen zwallocateVirtualMemory () y zwwriteVirtualMemory () para inyectar tanto el shellcode descifrado como el ejecutable HAVOC en el proceso CMD.EXE recientemente creado.
Finalmente, el malware establece la ejecución a través de zwcreateThreadEx (), creando un hilo remoto dentro del proceso de destino que ejecuta el código de shell inyectado, implementando efectivamente la puerta trasera de los caos mientras mantiene la aparición de la actividad legítima del sistema.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
