{"id":270321,"date":"2022-07-09T00:06:00","date_gmt":"2022-07-08T22:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270321"},"modified":"2022-07-08T22:35:06","modified_gmt":"2022-07-08T20:35:06","slug":"abwehr-windows-aufgabenplanung-als-einfallstor-fr-angriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/09\/abwehr-windows-aufgabenplanung-als-einfallstor-fr-angriffe\/","title":{"rendered":"Abwehr: Windows-Aufgabenplanung als Einfallstor für Angriffe"},"content":{"rendered":"

\"Windows\"[English<\/a>]Angreifer verwenden als Technik die Windows-Aufgabenplanung und erstellen dort Tasks (geplante Aufgaben), um sich auf dem Rechner eines Opfers einzunisten. Das Forschungsteam von Qualys hat eine Reihe von M\u00f6glichkeiten untersucht, wie Angreifer solche geplanten Aufgaben verstecken k\u00f6nnen. Dieser Beitrag beschreibt drei neue Techniken zum Verbergen und L\u00f6schen geplanter Aufgaben in einer Microsoft Windows-Umgebung. Das ist keine theoretische Arbeit \"im luftleeren Raum\", denn die Technik wurde von der mutma\u00dflich chinesischen Angreifer (APT) Hafnium eingesetzt.<\/p>\n

<\/p>\n

Angreifer missbrauchen die Aufgabenplanung (Taskplaner) in Microsoft Windows-Umgebungen, um die erstmalige oder wiederholte Ausf\u00fchrung von b\u00f6sartigem Code beim Systemstart oder zu einem geplanten Zeitpunkt zu erm\u00f6glichen. Das MITRE ATT&CK-Framework f\u00fchrt dies sogar als eine der beliebtesten Techniken<\/a> von Angreifern an, da die M\u00f6glichkeit zur Planung von Programmen oder Skripten ein g\u00e4ngiger Dienst in verschiedenen Betriebssystemen ist.<\/p>\n

Hafnium nutzt diese Technik<\/h2>\n

Vor kurzem ver\u00f6ffentlichten Sicherheitsforscher von Microsoft einen Artikel<\/a>, der beschreibt, wie die Hacker der staatlich gef\u00f6rderten chinesischen Gruppe Hafnium<\/a> geplante Aufgaben verbergen, indem sie den Security Descriptor (SD)-Wert im Registrierungspfad von Windows l\u00f6schen:<\/p>\n

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\\TASK_NAME<\/code><\/pre>\n
Nachdem Microsoft diese Angriffstechnik \u00f6ffentlich bekanntgegeben hatte, stellte sich das Qualys-Forschungsteam die Frage, ob es noch andere M\u00f6glichkeiten zum Verbergen geplanter Aufgaben gibt, und beschloss, dies n\u00e4her zu untersuchen.<\/p>\n
Geplante Aufgabe ausblenden<\/h2>\n
In diesem Blog-Beitrag werden die Ergebnisse erl\u00e4utert. Die wichtigste Erkenntnis der Analyse ist, dass der Index<\/code>-Wert im Windows-Registrierungspfad<\/p>\n
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\\TASK_NAME<\/code><\/pre>\n
auch dazu missbraucht werden kann, eine geplante Aufgabe auszublenden und zu l\u00f6schen.<\/p>\n
Nachfolgend wird kurz die Technik beschrieben, die Hafnium und andere Akteure zum Verbergen einer geplanten Aufgabe verwenden. Danach wird detailliert auf neue Techniken eingegangen, die genutzt werden k\u00f6nnen, um eine geplante Aufgabe in Microsoft-Umgebungen zu verbergen.<\/p>\n
So verstecken Angreifer geplante Aufgaben<\/h3>\n
Dem Microsoft-Beitrag zufolge werden bei der Erstellung jeder geplanten Aufgabe die folgenden beiden Registrierungsunterschl\u00fcssel erzeugt, einer im Tree-Pfad und der andere im Tasks-Pfad.<\/p>\n
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\\TASK_NAME \r\nHKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\{GUID} <\/code><\/pre>\n
Der erste Unterschl\u00fcssel TASK_NAME<\/em>, der im Tree<\/em>-Pfad erzeugt wird, entspricht dem Namen der geplanten Aufgabe. Die darin erzeugten Werte (d. h. Id, Index und SD) enthalten Metadaten f\u00fcr die Aufgabenregistrierung im System.<\/p>\n
Der zweite Unterschl\u00fcssel {GUID}, der im Tasks-Pfad erzeugt wird, entspricht dem Id-Wert im Tree-Unterschl\u00fcssel. Die darin erzeugten Werte (d. h. Aktionen, Pfad, Trigger usw.) enthalten die grundlegenden Parameter, die zur Ausf\u00fchrung der Aufgabe erforderlich sind.<\/p>\n
Im Fall von Hafnium erstellten die Angreifer eine geplante Aufgabe namens WinUpdate<\/em>, um unterbrochene Verbindungen zu ihrer Command & Control-Infrastruktur wiederherzustellen. Infolgedessen wurden Unterschl\u00fcssel im Tree-Pfad und im Tasks-Pfad erzeugt. Anschlie\u00dfend verschafften sich die Angreifer SYSTEM-Rechte (durch Token-Diebstahl) und l\u00f6schten den SD-Wert im Tree-Unterschl\u00fcssel.<\/p>\n
Durch das Entfernen des SD-Werts \u201everschwand\" die Aufgabe aus dem Aufgabenplaner<\/i> und aus der Ausgabe des Befehls schtasks \/query, <\/i>was dazu f\u00fchrte, dass die geplante Aufgabe mit keiner der herk\u00f6mmlichen Identifizierungsm\u00f6glichkeiten mehr zu finden war.<\/p>\n
Die Untersuchung durch die Qualsys-Sicherheitsforscher ergab nun, dass das \u00c4ndern oder L\u00f6schen des Indexwerts im Tree-Unterschl\u00fcssel ebenfalls dazu f\u00fchrt, dass geplante Aufgaben verborgen werden. Im Folgenden werden erl\u00e4utern die Sicherheitsforscher ihre Erkenntnisse, doch zun\u00e4chst eine kurze Beschreibung der Untersuchungsbedingungen.<\/p>\n
Der Untersuchungsaufbau des Qualys-Forschungsteams<\/h3>\n
Die Sicherheitsforscher f\u00fchrten ihre Untersuchungen unter Windows 10 Pro (v10.0.19043), Windows 10 Enterprise (v10.0.19044) und Windows 2016 Server durch. Auf jedem Rechner wurden zun\u00e4chst die beiden folgenden Schritte ausgef\u00fchrt:<\/p>\n