Kalıcılık, tehdit aktörlerinin ele geçirilen sistemlere erişimlerini sürdürmeleri ve ihtiyaç duyduklarında bağlantı kurmaları için en önemli şeylerden biridir. Kalıcılığı sürdürmek için kullanılan temel yöntemlerden biri, zamanlanmış görevlerin kullanılmasıdır.
“HAFNIUM” olarak tanımlanan bir tehdit aktörünün, Tarrask kötü amaçlı yazılımındaki kayıt defteri anahtarlarını değiştirerek kalıcı bağlantılar kurmak amacıyla zamanlanmış görevleri değiştirmek için alışılmadık bir yöntem kullandığı keşfedildi. Bu, tehdit aktörünün gizli planlanmış görevler oluşturmasına olanak tanır
Bilgisayar korsanları kayıt defteri anahtarlarını değiştiriyor
Purple ekibinin paylaştığı raporlara göre, kırmızı ekip üyelerinin ve tehdit aktörlerinin bunu bir C2 çerçevesi içinde kullanmasını sağlayabilecek bir işaretçi nesne dosyası aracılığıyla zamanlanmış görevlerden yararlanan GhostTask adlı bir kavram kanıtı yayınlandı.
Zamanlanmış görevlere müdahale etme tekniği, yaygın olarak yükseltilmiş ayrıcalıklar gerektiren ilgili kayıt defteri anahtarları oluşturularak yeniden oluşturulur. GhostTask, hedef sistemde zaten mevcut olan zamanlanmış bir görevi gerektirir.
Kayıt defteri anahtarları değiştirildiğinde, değişikliklerin etkili olması için sistemin yeniden başlatılması gerekir. Yine alternatif olarak, işler yardımcı program görevi başlatmak ve kalıcılığı sağlamak için kullanılabilir.
Windows Etkinlikleri
Bu teknik, kayıt defteri anahtarlarının değiştirilmesine dayanır; bu nedenle Grup İlkesi’nden etkinleştirilen kayıt defteri etkinliklerinin denetlenmesi gerekir. Ayrıca, yeni veya değiştirilmiş zamanlanmış görevleri içeren TaskCache kayıt defteri anahtarının herhangi bir değişiklik açısından izlenmesi gerekir.
Kayıt defteri anahtarlarının denetlenmesi, 4657 (Kayıt Defteri Değeri Değişikliği) ve 4663 (Kayıt Defteri Nesnesi Erişimi) olay kimlikleri altında yakalanan bir kayıt defteri anahtarına her erişildiğinde veya değiştirildiğinde günlük görünürlüğü sağlar.
Kayıt
Kayıt defteri anahtarları değiştirilerek oluşturulan zamanlanmış görevler, Görev Zamanlayıcı’da veya schtasks /query komutunda görünmez. SD kayıt defteri anahtarının silinmesiyle gizlenebilmesine rağmen, ayrıcalık yükseltme açısından algılama fırsatlarına yol açabilecek SİSTEM düzeyinde ayrıcalıklar gerektirir.
Ayrıca, Microsoft’un raporu, saldırı yöntemleri, teknikleri, kötüye kullanım ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan, bu zamanlanmış görev tahrifatına ilişkin tam bir rapor yayımlandı.