奇客 黑客如何利用 Windows 任务调度程序植入持久性的后门

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
奇客 黑客如何利用 Windows 任务调度程序植入持久性的后门
「星期四」 Hello Thursday

黑客如何利用 Windows 任务调度程序植入持久性的后门

微软 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人员披露了黑客组织 Hafnium 如何利用 Windows 任务调度程序植入持久性后门的方法。任务调度程序通常被 IT 管理员用于自动化琐碎的任务如更新程序、整理文件系统和启动特定应用。黑客滥用该功能创建隐藏任务,让被入侵的设备在重启之后仍然能远程访问:一旦重启,隐藏任务会与 Hafnium 的指令服务器重新建立后门连接。为了隐藏该任务,恶意程序通过令牌盗窃获得 SYSTEM 级权限,删除任务的安全描述项注册表值,在 GUI 和任务调度中将会看不到该任务,只有手动检查注册表才能发现隐藏任务。

WinterIsComing 发表于

2022年04月14日 20时58分

奇客 黑客如何利用 Windows 任务调度程序植入持久性的后门

随意打赏

提交建议
微信扫一扫,分享给好友吧。