solidot新版网站常见问题,请点击这里查看。

黑客如何利用 Windows 任务调度程序植入持久性的后门

安全
WinterIsComing (31822)发表于 2022年04月14日 20时58分 星期四
来自驶入深海
微软 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人员披露了黑客组织 Hafnium 如何利用 Windows 任务调度程序植入持久性后门的方法。任务调度程序通常被 IT 管理员用于自动化琐碎的任务如更新程序、整理文件系统和启动特定应用。黑客滥用该功能创建隐藏任务,让被入侵的设备在重启之后仍然能远程访问:一旦重启,隐藏任务会与 Hafnium 的指令服务器重新建立后门连接。为了隐藏该任务,恶意程序通过令牌盗窃获得 SYSTEM 级权限,删除任务的安全描述项注册表值,在 GUI 和任务调度中将会看不到该任务,只有手动检查注册表才能发现隐藏任务。