Attività pianificate di Windows, mani silenziose: il trucco di persistenza dietro un nuovo modello di spyware
L'attività segnalata contro organizzazioni governative ucraine utilizza attività pianificate per una persistenza furtiva, con un passaggio separato di validazione che potrebbe aiutare gli operatori a tenere nascoste esecuzioni rumorose.
A volte il nascondiglio più utile è già integrato nel sistema operativo. In questo caso, il tradecraft segnalato fa leva sulle attività pianificate di Windows, una normale funzionalità amministrativa che può essere riutilizzata per eseguire nuovamente codice dopo un riavvio o la disconnessione dell'utente. L'attività è collegata a FrostyNeighbor, un'etichetta usata anche per Ghostwriter, UNC1151 e TA445, ed è associata ad attacchi contro organizzazioni governative ucraine.
Fatti rapidi
- Le attività pianificate di Windows possono essere abusate per mantenere in esecuzione codice malevolo nel tempo.
- L'attività segnalata prende di mira organizzazioni governative ucraine.
- FrostyNeighbor è tracciato anche come Ghostwriter, UNC1151 e TA445.
- Il rapporto menziona anche una convalida lato server come parte del flusso di lavoro dell'operatore.
- La telemetria sulla creazione delle attività è uno dei pivot di hunting più utili per i difensori.
Perché questa tecnica è importante
L'abuso delle attività pianificate non è vistoso, ma è duraturo. In Microsoft Windows, un'attività può avviare un programma a intervalli, all'avvio o quando un utente effettua l'accesso. MITRE ATT&CK classifica questa tecnica come persistenza tramite attività/processi pianificati, e i difensori spesso la considerano un segnale di alto valore perché può sopravvivere a un singolo payload e confondersi con la normale amministrazione del sistema.
Il rischio pratico riguarda meno il nome dell'attività e più ciò a cui punta. Un'attività può essere creata con un'etichetta dall'aspetto innocuo, memorizzata in una posizione attesa ed essere attivata solo in condizioni ristrette. Questo rende più facile per un operatore mantenere l'accesso riducendo la probabilità di rilevamento immediato da parte di strumenti che si concentrano solo su binari, hash o alberi dei processi isolati.
Il riferimento alla convalida lato server è anch'esso importante, anche se qui il meccanismo esatto non è visibile. Dal punto di vista difensivo, questa formulazione suggerisce una sorta di controllo gestito dall'operatore prima che il codice malevolo si attivi completamente. In tal caso, la campagna potrebbe essere progettata per restare silenziosa sui sistemi poco interessanti e funzionare solo dove l'attaccante desidera. Ciò sarebbe coerente con un modello di spionaggio a basso rumore, non con un'intrusione mordi e fuggi.
Per i difensori, la domanda migliore non è solo “cosa è stato eseguito?”, ma anche “cosa ha creato l'attività, quando è stata creata e a cosa puntava?”. In Windows, l'evento 4698 può registrare la creazione di un'attività pianificata quando l'auditing è abilitato, rendendolo un punto di ancoraggio utile per l'hunting. I team di sicurezza dovrebbero inoltre esaminare l'XML dell'attività, trigger insoliti, processi padre inattesi e attività che compaiono dopo modifiche ai privilegi o finestre di manutenzione.
Al momento della pubblicazione, le informazioni disponibili supportano un'analisi del rischio, non un'affermazione ampia su una compromissione estesa. La lezione principale è più chiara del labirinto dell'attribuzione: le funzionalità amministrative integrate sono spesso i punti d'appoggio più durevoli quando gli attaccanti vogliono sparire nelle normali operazioni.
Conclusione
Quando gli strumenti di intrusione si nascondono dentro meccanismi di sistema affidabili, i difensori devono cercare il comportamento, non solo il malware. Le attività pianificate sono ordinarie su Windows, ed è proprio per questo che restano un livello di persistenza così efficace per operatori pazienti. La lezione più ampia è semplice: i punti d'appoggio più silenziosi sono spesso i più difficili da rimuovere.
WIKICROOK
- Persistenza: un metodo usato per mantenere l'accesso a un sistema dopo un riavvio, la disconnessione o tentativi di pulizia.
- Attività pianificata: una funzionalità di Windows che esegue un programma o uno script a intervalli o in base a un trigger.
- T1053.005: la sotto-tecnica ATT&CK per abusare di attività o processi pianificati a fini di persistenza o esecuzione.
- Convalida lato server: un controllo remoto che può determinare se un payload si attiva completamente.
- Evento 4698: un evento di audit di Windows che può registrare la creazione di un'attività pianificata quando abilitato.




