Cómo detectar el malware Windows Tarrask

Microsoft publicó información sobre un nuevo malware el 12 de abril de 2022. El malware, llamado Tarrask, se aprovecha de un fallo en el sistema de programación de tareas de Windows para evadir la detección.

Tarrask es utilizado por el grupo de cibercriminales Hafnium (que según se cree está bajo el respaldo del gobierno chino), que en el pasado tuvo como objetivo las telecomunicaciones, los proveedores de servicios de Internet y el sector de los servicios de datos.

El grupo utiliza vulnerabilidades zero day para sus ataques con el fin de introducirse en los sistemas informáticos. Una vez que un sistema ha sido atacado con éxito, se utiliza un fallo en Windows para ocultar los rastros del malware y dificultar su detección. Tarrask utiliza un fallo para crear tareas programadas que se ocultan para evitar la detección y probablemente también para la persistencia.

El Programador de Tareas de Windows es utilizado por el sistema y por las aplicaciones para lanzar tareas, por ejemplo, para buscar actualizaciones o ejecutar operaciones de mantenimiento. Las aplicaciones pueden añadir tareas al Programador de Tareas, siempre que se ejecuten con los derechos suficientes para ello. El malware utiliza las tareas a menudo, según Microsoft, para “mantener la persistencia dentro de un entorno Windows”.

Las tareas pueden ser analizadas lanzando la herramienta del Programador de Tareas en Windows. Tarrask utiliza un error para ocultar su tarea de la herramienta y también la opción de línea de comandos “schtasks /query”, que devuelve una lista de las tareas programadas que existen. Para evitar su detección, Tarrask borra el valor del Descriptor de Seguridad de la tarea en el Registro de Windows; esto hace que la tarea desaparezca del Programador de Tareas y de la herramienta de línea de comandos. En otras palabras: una inspección cuidadosa de todas las tareas utilizando cualquiera de las herramientas no revelará las tareas maliciosas.

Detección de Tarrask en sistemas Windows

El malware no elimina por completo la información de la tarea, ya que aún quedan rastros de ella en el Registro del sistema. Microsoft sospecha que el grupo de cibercriminales dejó los datos en el Registro para que el malware fuera persistente, o bien, que el grupo no era consciente de que la tarea “seguiría ejecutándose” tras la eliminación del componente SD (descriptor de seguridad).

Los administradores de Windows pueden analizar la información de las tareas programadas en el Registro del sistema para averiguar si un sistema está infectado con el malware Tarrask:

  • Utilizar el atajo de teclado Windows-R para mostrar el cuadro de ejecución.
  • Escribir regedit.exe y pulsar la tecla Enter.
  • Navegar hasta la ruta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\. Ahí se obtiene la lista de tareas programadas que existen en el sistema.
  • Revisar cada tarea para determinar si una aparece sin valor SD.

Si se encuentra una tarea sin valor SD, se trata de una tarea oculta que no se muestra en el Programador de Tareas ni en la utilidad de línea de comandos. La tarea no puede ser eliminada normalmente, ya que se está ejecutando en el contexto del usuario SYSTEM. Los intentos de eliminar la tarea fallarán con un mensaje de error de acceso denegado.

La última versión de la aplicación de seguridad Windows Defender de Microsoft detecta el malware. Microsoft añadió un nuevo evento de observación a Windows Defender que detecta las tareas ocultas; éstas son marcadas como Behavior:Win32/ScheduledTaskHide.A

Microsoft recomienda que los administradores de sistemas adopten las siguientes recomendaciones y directrices de seguridad para detectar el malware que está utilizando el vector de ataque:

Enumerar los hives del registro del entorno Windows buscando en el hive del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree e identificar cualquier tarea programada sin valor SD dentro de la clave de tarea. Realizar el análisis de estas tareas según sea necesario.

Modificar la política de auditoría para identificar las acciones de las Tareas Programadas habilitando el registro “TaskOperational” dentro de Microsoft-Windows-TaskScheduler/Operational. Aplicar la configuración recomendada de la política de auditoría de Microsoft adecuada al entorno.

Habilitar y centralizar los siguientes registros del Programador de Tareas. Aunque las tareas estén “ocultas”, estos registros rastrean eventos clave relacionados con ellas que podrían llevar a descubrir un mecanismo de persistencia bien escondido

ID de evento 4698 dentro del registro Security.evtx

Registro Microsoft-Windows-TaskScheduler/Operational.evtx

Los actores de la amenaza en esta campaña utilizaron tareas programadas ocultas para mantener el acceso a los activos críticos expuestos a Internet restableciendo regularmente las comunicaciones salientes con la infraestructura de C&C. Hay que estar al tanto y controlar el comportamiento poco común de las comunicaciones salientes asegurando de que la monitorización y las alertas de estas conexiones desde estos activos críticos de nivel 0 y nivel 1 están implementadas.

Otros programas maliciosos también pueden aprovechar el fallo para evitar su detección.

Mr. X

Compartir este artículo

¡Me gusta este artículo!

1

Artículos relacionados

    Deja un comentario

    ¡Gracias por dejar tu comentario!

    Entradas recientes