コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
目次
Windows システムでの Tarrask の検出
ホームページ よくある問題 検出を回避するエラーを使用して Windows Tarrask マルウェアを検出する方法

検出を回避するエラーを使用して Windows Tarrask マルウェアを検出する方法

王林
王林
Apr 24, 2023 pm 01:25 PM
ソフトウェア レジストリ ウィンドウズシステム

Microsoft は、2022 年 4 月 12 日にセキュリティ Web サイトに新しいマルウェアに関する情報を掲載しました。 Tarrask と呼ばれるこのマルウェアは、Windows タスク スケジューリング システムの脆弱性を悪用して検出を回避します。

如何检测使用错误以避免检测的 Windows Tarrask 恶意软件

Tarrask は、過去に電気通信、インターネット サービス プロバイダー、データ サービス セクターを標的としたハッカー グループ Hafnium によって使用されています。

このグループはゼロデイ脆弱性を悪用してコンピューター システムを攻撃します。システムの侵害に成功すると、Windows の脆弱性が悪用されてマルウェアの痕跡が隠蔽され、検出が困難になる可能性があります。 Tarrask はこのバグを使用して、検出を回避し、場合によっては永続化するために、非表示のスケジュールされたタスクを作成します。

システムとアプリケーションは、Windows タスク スケジューラを使用して、更新プログラムの確認やメンテナンス操作の実行などのタスクを開始します。アプリケーションは、十分な権限で実行する場合に限り、タスク スケジューラにタスクを追加できます。 Microsoft によれば、マルウェアは「Windows 環境での永続性を維持する」ためにタスクを使用することがよくあります。

タスクは、Windows でタスク スケジューラ ツールを起動することで分析できます。 Tarrask はエラーを使用してタスクを非表示にし、コマンド ライン オプション「schtasks /query」を使用して、既存のスケジュールされたタスクのリストを返します。検出を回避するために、Tarrask は Windows レジストリ内のタスクのセキュリティ記述子の値を削除します。これにより、タスクがタスク スケジューラおよびコマンド ライン ツールから消えます。言い換えれば、いずれのツールを使用してすべてのタスクを注意深く検査しても、悪意のあるタスクは検出されません。

Windows システムでの Tarrask の検出

マルウェアのトレースはシステム レジストリに記録されているため、タスク情報は完全には削除されません。 Microsoftは、ハッキンググループがマルウェアの存続を可能にするデータをレジストリに残したか、SDコンポーネントを削除した後もタスクが「実行され続ける」ことをグループが認識していなかった可能性があると疑っている。

Windows 管理者は、システム レジストリ内のスケジュールされたタスク情報を分析して、システムが Tarrask マルウェアに感染しているかどうかを判断できます。

  1. キーボード ショートカット Windows-R を使用して、実行ボックスを表示します。
  2. 「regedit.exe」と入力し、Enter キーを押します。
  3. パス HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ に移動します。システム上に存在するスケジュールされたタスクのリストが表示されます。
  4. 各タスクをループして、SD 値のないタスクがリストされているかどうかを確認します。

SD 値のないタスクが見つかった場合、それは非表示のタスクであり、タスク スケジューラやコマンド ライン ユーティリティには表示されません。タスクは SYSTEM ユーザーのコンテキストで実行されるため、通常は削除できません。タスクを削除しようとすると、アクセス拒否のエラー メッセージが表示されて失敗します。

Microsoft の Windows Defender セキュリティ アプリケーションの最新バージョンがマルウェアを検出しました。 Microsoft は、隠しタスクを検出するための新しい監視イベントを Windows Defender に追加しました。これらのタスクは Behavior:Win32/ScheduledTaskHide.A としてマークされ、アプリケーションによって使用されます。

マイクロソフトでは、システム管理者が攻撃ベクトルを使用してマルウェアを検出するために、次の推奨事項とセキュリティ ガイドラインを採用することをお勧めします:

Windows 環境のレジストリ ハイブを列挙し、HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT を表示します。 \CurrentVersion\Schedule\TaskCache\Tree レジストリ ハイブを検索し、タスク キーに SD (セキュリティ記述子) 値を持たないスケジュールされたタスクを識別します。必要に応じてこれらのタスクを分析します。

Microsoft-Windows-TaskScheduler/Operational で「TaskOperational」のログ記録を有効にして、スケジュールされたタスク操作を識別するように監査ポリシーを変更します。環境に適した Microsoft の推奨監査ポリシー設定を適用します。

次のタスク スケジューラ ログを有効にして一元化します。タスクが「隠されている」場合でも、これらのログはタスクに関連する重要なイベントを追跡するため、Security.evtx ログで巧妙に隠された永続化メカニズムを発見する可能性があります。 Microsoft-Windows-TaskScheduler/Operational.evtx log
EventID 4698

このキャンペーンの攻撃者は、隠されたスケジュールされたタスクを使用して、C&C インフラストラクチャとのアウトバウンド通信を定期的に再確立することで、インターネット上に公開されている重要な資産へのアクセスを維持します。これらの重要な Tier 0 および Tier 1 資産からの接続が確実に監視され、アラートが送信されるようにすることで、アウトバウンド通信の異常な動作を常に警戒して監視します。

以上が検出を回避するエラーを使用して Windows Tarrask マルウェアを検出する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

アサシンのクリードシャドウズ:シーシェルリドルソリューション
3週間前 By DDD
Windows11 KB5054979の新しいものと更新の問題を修正する方法
2週間前 By DDD
Atomfallのクレーンコントロールキーカードを見つける場所
3週間前 By DDD
<🎜>:Dead Rails-すべての課題を完了する方法
4週間前 By DDD
Atomfall Guide:アイテムの場所、クエストガイド、およびヒント
4週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7667
15
CakePHP チュートリアル
1393
52
C# チュートリアル
1205
24
Steamのアカウント名の形式は何ですか
91
11
Win11 Activation Key Permanent
73
19
もっと見る
Related knowledge
CrystalDiskmarkとはどのようなソフトウェアですか? -crystaldiskmarkの使い方は? CrystalDiskmarkとはどのようなソフトウェアですか? -crystaldiskmarkの使い方は? Mar 18, 2024 pm 02:58 PM

CrystalDiskMark は、シーケンシャルおよびランダムの読み取り/書き込み速度を迅速に測定する、ハード ドライブ用の小型 HDD ベンチマーク ツールです。次に、編集者が CrystalDiskMark と Crystaldiskmark の使用方法を紹介します。 1. CrystalDiskMark の概要 CrystalDiskMark は、機械式ハード ドライブとソリッド ステート ドライブ (SSD) の読み取りおよび書き込み速度とパフォーマンスを評価するために広く使用されているディスク パフォーマンス テスト ツールです。 ). ランダム I/O パフォーマンス。これは無料の Windows アプリケーションで、使いやすいインターフェイスとハード ドライブのパフォーマンスのさまざまな側面を評価するためのさまざまなテスト モードを提供し、ハードウェアのレビューで広く使用されています。

WPS Office で PPT ファイルを開けない場合の対処方法 - WPS Office で PPT ファイルを開けない場合の対処方法 WPS Office で PPT ファイルを開けない場合の対処方法 - WPS Office で PPT ファイルを開けない場合の対処方法 Mar 04, 2024 am 11:40 AM

最近、多くの友人から、WPSOffice で PPT ファイルを開けない場合はどうすればよいか尋ねられました。次に、WPSOffice で PPT ファイルを開けない問題を解決する方法を学びましょう。皆さんのお役に立てれば幸いです。 1. 以下の図に示すように、まず WPSOffice を開いてホームページに入ります。 2. 次に、下の図に示すように、上の検索バーに「ドキュメント修復」というキーワードを入力し、クリックしてドキュメント修復ツールを開きます。 3. 次に、以下の図に示すように、修復のために PPT ファイルをインポートします。

CrystalDiskinfo 使い方チュートリアル ~CrystalDiskinfo とは何ですか? CrystalDiskinfo 使い方チュートリアル ~CrystalDiskinfo とは何ですか? Mar 18, 2024 pm 04:50 PM

CrystalDiskInfo は、コンピュータのハードウェア デバイスをチェックするためのソフトウェアです。このソフトウェアでは、読み取り速度、転送モード、インターフェイスなど、自分のコンピュータのハードウェアをチェックできます。では、これらの機能に加えて、CrystalDiskInfo の使い方と、CrystalDiskInfo とは何なのかを整理してみましょう。 1. CrystalDiskInfo の起源 コンピュータ ホストの 3 つの主要コンポーネントの 1 つであるソリッド ステート ドライブは、コンピュータの記憶媒体であり、コンピュータのデータ ストレージを担当します。優れたソリッド ステート ドライブは、ファイルの読み取りを高速化し、消費者エクスペリエンスに影響を与えます。消費者は新しいデバイスを受け取ると、サードパーティ ソフトウェアまたは他の SSD を使用して、

Windows 10のレジストリを変更してコンピュータの起動速度を向上させる方法 Windows 10のレジストリを変更してコンピュータの起動速度を向上させる方法 Apr 19, 2024 am 08:01 AM

Windows 10 オペレーティング システムを使用する過程で、多くのユーザーは、コンピューターの起動に時間がかかり、ユーザー エクスペリエンスに影響を与えることに気づきました。ブート速度を最適化するために、システム レジストリを変更することで目的を達成できると提案する人もいます。この需要に応えて、この記事では、Windows 10 のレジストリ設定を適切に調整することで、コンピューターの起動速度を効果的に向上させる方法について詳しく分析します。以下を見てみましょう。操作方法 1.「win+R」ショートカットキーで実行を開始し、「regedit」と入力して「OK」をクリックして開きます。 2. レジストリ エディタに入ったら、左側の列の「HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurren」をクリックします。

Adobe Illustrator CS6 でキーボードの増分を設定する方法 - Adob​​e Illustrator CS6 でキーボードの増分を設定する方法 Adobe Illustrator CS6 でキーボードの増分を設定する方法 - Adob​​e Illustrator CS6 でキーボードの増分を設定する方法 Mar 04, 2024 pm 06:04 PM

多くのユーザーがオフィスで Adob​​e Illustrator CS6 ソフトウェアを使用していますが、Adobe Illustrator CS6 でキーボードの増分を設定する方法をご存知ですか? 次に、エディターが Adob​​e Illustrator CS6 のキーボードの増分を設定する方法を表示します。興味のあるユーザーは、以下をご覧ください。ステップ 1: 以下の図に示すように、Adobe Illustrator CS6 ソフトウェアを起動します。ステップ 2: メニューバーで [編集] → [環境設定] → [一般] コマンドを順にクリックします。ステップ 3: [キーボード インクリメント] ダイアログ ボックスが表示されます。[キーボード インクリメント] テキスト ボックスに必要な数値を入力し、最後に [OK] ボタンをクリックします。ステップ 4: ショートカット キー [Ctrl] を使用します。

bonjourってどんなソフトですか? 便利ですか? bonjourってどんなソフトですか? 便利ですか? Feb 22, 2024 pm 08:39 PM

Bonjour は、ローカル エリア ネットワーク内のネットワーク サービスを検出および構成するために Apple が発売したネットワーク プロトコルおよびソフトウェアです。その主な役割は、同じネットワーク内に接続されているデバイス間を自動的に検出して通信することです。 Bonjour は 2002 年の MacOSX10.2 バージョンで初めて導入され、現在は Apple のオペレーティング システムにデフォルトでインストールされ有効になっています。それ以来、Apple は Bonjour のテクノロジーを他のメーカーに公開したため、他の多くのオペレーティング システムやデバイスも Bonjour をサポートできるようになりました。

Edge で互換性のないソフトウェアを読み込もうとする問題を解決するにはどうすればよいですか? Edge で互換性のないソフトウェアを読み込もうとする問題を解決するにはどうすればよいですか? Mar 15, 2024 pm 01:34 PM

Edge ブラウザを使用すると、互換性のないソフトウェアが一緒に読み込まれようとすることがありますが、何が起こっているのでしょうか?このサイトでは、Edge と互換性のないソフトウェアをロードしようとする問題を解決する方法をユーザーに丁寧に紹介します。 Edge でロードしようとしている互換性のないソフトウェアを解決する方法 解決策 1: スタート メニューで IE を検索し、IE で直接アクセスします。解決策 2: 注: レジストリを変更すると、システム障害が発生する可能性があるため、慎重に操作してください。レジストリパラメータを変更します。 1. 操作中に regedit と入力します。 2. パス\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Micros を見つけます。

photoshoppcs5とはどんなソフトですか? -photoshopcs5の使い方チュートリアル photoshoppcs5とはどんなソフトですか? -photoshopcs5の使い方チュートリアル Mar 19, 2024 am 09:04 AM

PhotoshopCS は Photoshop Creative Suite の略で、Adobe 社が開発したソフトウェアで、グラフィック デザインや画像処理に広く使用されています。PS を学習する初心者として、今日は photoshopcs5 とはどのようなソフトウェアなのか、そして photoshopcs5 の使い方を説明しましょう。 1. photoshop cs5 とはどのようなソフトウェアですか? Adob​​e Photoshop CS5 Extended は、映画、ビデオ、マルチメディア分野の専門家、3D やアニメーションを使用するグラフィックおよび Web デザイナー、エンジニアリングおよび科学分野の専門家に最適です。 3D イメージをレンダリングし、それを 2D 合成イメージに結合します。動画を簡単に編集