黑客如何利用 Windows 任務調度程序植入持久性的后門

微軟 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人員披露了黑客組織 Hafnium 如何利用 Windows 任務調度程序植入持久性后門的方法。任務調度程序通常被 IT 管理員用于自動化瑣碎的任務如更新程序、整理文件系統和啟動特定應用。黑客濫用該功能創建隱藏任務，讓被入侵的設備在重啟之后仍然能遠程訪問：一旦重啟，隱藏任務會與 Hafnium 的指令服務器重新建立后門連接。為了隱藏該任務，惡意程序通過令牌盜竊獲得 SYSTEM 級權限，刪除任務的安全描述項注冊表值，在 GUI 和任務調度中將會看不到該任務，只有手動檢查注冊表才能發現隱藏任務。