microsoft publicado información sobre un nuevo malware en su sitio web de seguridad el 12 de abril de 2022. El malware, llamado Tarrask, aprovecha un error en el sistema de programación de tareas de Windows para evadir la detección.

valor de SD de tareas de registro de Windows

Tarrask es utilizado por el grupo de piratas informáticos Hafnium, que en el pasado se centró en las telecomunicaciones, los proveedores de servicios de Internet y el sector de servicios de datos.

El grupo utiliza vulnerabilidades de día cero para que sus ataques ingresen a los sistemas informáticos. Una vez que un sistema ha sido atacado con éxito, se utiliza un error en Windows para ocultar los rastros del malware y dificultar la detección. Tarrask usa el error para crear tareas programadas que están ocultas para evitar la detección y probablemente también para la persistencia.

El Programador de tareas de Windows es utilizado por el sistema y por las aplicaciones para iniciar tareas, por ejemplo, para buscar actualizaciones o ejecutar operaciones de mantenimiento. Las aplicaciones pueden agregar tareas al Programador de tareas, siempre que se ejecuten con los derechos suficientes para hacerlo. El malware usa tareas a menudo, según Microsoft, para «mantener la persistencia dentro de un entorno de Windows».

Las tareas se pueden analizar iniciando la herramienta Programador de tareas en Windows. Tarrask usa un error para ocultar su tarea de la herramienta y también la opción de línea de comando «schtasks /query», que devuelve una lista de tareas programadas que existen. Para evitar la detección, Tarrask elimina el valor del Descriptor de seguridad de la tarea en el Registro de Windows; esto da como resultado la desaparición de la tarea del Programador de tareas y de la herramienta de línea de comandos. En otras palabras: una inspección cuidadosa de todas las tareas usando cualquiera de las herramientas no revelará las tareas maliciosas.

Detección de Tarrask en sistemas Windows

El malware no elimina la información de la tarea por completo, ya que todavía se registran rastros en el registro del sistema. Microsoft sospecha que el grupo de piratería dejó los datos en el Registro para hacer que el malware fuera persistente, o que el grupo no sabía que la tarea «seguiría ejecutándose» después de eliminar el componente SD.

Los administradores de Windows pueden analizar la información de tareas programadas en el Registro del sistema para averiguar si un sistema está infectado con el malware Tarrask:

  1. Use el método abreviado de teclado Windows-R para mostrar el cuadro de ejecución.
  2. Escriba regedit.exe y presione la tecla Enter.
  3. Navegue hasta la ruta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\. Obtiene la lista de tareas programadas que existen en el sistema.
  4. Revise cada tarea para determinar si aparece una sin valor SD.

Si se encuentra una tarea sin valor SD, es una tarea oculta que no se muestra en el Programador de tareas ni en la utilidad de línea de comandos. La tarea no se puede eliminar normalmente, ya que se ejecuta dentro del contexto del usuario del SISTEMA. Los intentos de eliminar la tarea fallarán con un mensaje de error de acceso denegado.

La última versión de la aplicación de seguridad Windows Defender de Microsoft detecta el malware. Microsoft agregó un nuevo evento de observación a Windows Defender que detecta tareas ocultas; estos están marcados como Behavior:Win32/ScheduledTaskHide.A luego por la aplicación.

Microsoft recomienda que los administradores del sistema adopten las siguientes recomendaciones y pautas de seguridad para detectar el malware que utiliza el vector de ataque:

Enumere las secciones del registro del entorno de Windows que buscan en la sección del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree e identifique las tareas programadas sin el valor SD (descriptor de seguridad) dentro de la clave de la tarea. Realice un análisis de estas tareas según sea necesario.

Modifique su política de auditoría para identificar acciones de tareas programadas habilitando el registro de «TaskOperational» dentro de Microsoft-Windows-TaskScheduler/Operational. Aplique la configuración de directiva de auditoría de Microsoft recomendada adecuada para su entorno.

Habilite y centralice los siguientes registros del Programador de tareas. Incluso si las tareas están «ocultas», estos registros rastrean eventos clave relacionados con ellas que podrían llevarlo a descubrir un mecanismo de persistencia bien oculto.
Id. de evento 4698 dentro del registro Security.evtx
Registro de Microsoft-Windows-TaskScheduler/Operational.evtx

Los actores de amenazas en esta campaña utilizaron tareas programadas ocultas para mantener el acceso a los activos críticos expuestos a Internet mediante el restablecimiento regular de las comunicaciones salientes con la infraestructura de C&C. Permanezca alerta y controle el comportamiento poco común de sus comunicaciones salientes asegurándose de que el control y las alertas para estas conexiones de estos activos críticos de Nivel 0 y Nivel 1 estén en su lugar.

Otro malware también puede explotar el error para evitar la detección.

Ahora tu: ¿Qué software de seguridad utiliza?

Por Deyanira