Stuxnet khai thác Task Scheduler theo một cách chưa từng được biết đến trước đây - đó là một cuộc tấn công zero-day thật sự. Nhưng phần mềm độc hại không phải quá được ưa thích để đặt Task Scheduler để lây nhiệm. Ví dụ, phần mềm độc hại thường sẽ tạo ra một nhiệm vụ để tìm kiếm các điều kiện tiên quyết nhất định để khởi động, tải mã độc hại mới trên một lịch trình, hoặc sử dụng các nhiệm vụ đã được lên lịch như là một cách để luôn luôn duy trì trong bộ nhớ.
Thật không may, tôi đang tìm nhiều ví dụ hơn của phần mềm độc hại mới và thậm chí cả các cuộc tấn công theo phong cách APT đang lạm dụng Task Scheduler và AT.exe. Bây giờ là thời điểm tốt để tất cả chúng ta kiểm tra Task Scheduler.
Hiểu rõ về Windows Task Scheduler của bạn
Giữa các phiên bản hiện tại và cũ của Windows, có ba tiện ích khác nhau cho việc lập các nhiệm vụ. Dưới đây những sự khác biệt của chúng. Tiền thân của Windows Task Scheduler, AT.exe, chỉ làm việc tại các dòng lệnh. Schtasks.exe đã được bổ sung trong Windows XP và Windows Server 2003 như là một thay thế cho AT.exe, nhưng AT.exe vẫn tương thích ngược. Windows Task Scheduler là một ứng dụng giao diện chức năng. Tất cả ba công cụ này đều dựa vào dịch vụ Task Scheduler.
Tất cả ba công cụ lập nhiệm vụ này có thể làm việc tại địa phương hoặc từ xa trên các máy chủ khác. Khi được sử dụng từ xa, AT.exe sử dụng Remote Procedure Calls (RPC) trong các gói Server Message Blocks (SMB). Schtasks và Windows Task Scheduler sử dụng RPC và bỏ qua sự bao gồm SMB. Khi được sử dụng từ xa, dịch vụ Task Scheduler của các máy chủ mục tiêu xử lý các việc tạo ra, lập kế hoạch, và chạy các nhiệm vụ. Các phiên bản cũ của những công cụ này yêu cầu người quản trị nhiệm vụ phải là một người sử dụng đặc quyền, nhưng đối với các nhiệm vụ không đòi hỏi mức độ cao thì có thể được tạo ra bởi tài khoản người dùng thường xuyên.
Các nhiệm vụ đã được lên lịch sẽ được thực hiện như các tập tin cá nhân. Mỗi nhiệm vụ sẽ được đặt tên theo một Security Identifier Description (SID) duy nhất của hệ thống, hoặc được tạo ra theo tên được cung cấp bởi hệ thống hoặc người dùngmột người dùng hoặc hệ thống cung cấp tên. Các nhiệm vụ được lưu trữ trong %Windir%\Tasks hoặc %Windir%\System32\Tasks theo mặc định, và có thể có các phần mở rộng .job. Các tập tin .job là nhị phân, nhưng chúng có thể được giải mã. Trong Windows Vista, Windows 7 và Windows Server 2008, các tập tin nhiệm vụ mới là XML và dễ dàng có thể đọc được.
Bạn có thể kiểm tra các tập tin nhiệm vụ cũ và mới, nhưng không phải lúc nào cũng dễ dàng. Đầu tiên, các tập tin có thể được sở hữu bởi các tài khoản hệ thống và không thể tiếp cận được. Chúng thường nằm ở %Windir%\System32\Tasks và vô hình bằng cách sử dụng các thuộc tính ẩn. Thậm chí nếu bạn muốn tìm kiếm chúng thì cũng rất khó khăn.
Một vài mẹo an toàn của Windows Task Scheduler
Vậy thì, bạn có thể làm gì những gì? Có một vài bước bạn có thể thực hiện, và chúng không hề khó. Trước tiên, bạn có thể tìm kiếm các tập tin công việc ẩn. Bạn có thể sử dụng Windows Explorer, Attrib.exe, hoặc DIR/ ah để tìm kiếm các tập tin ẩn, nhưng có một cách dễ dàng hơn là sử dụng Sysinternals Autoruns. Autoruns cho phép bạn nhằm thẳng vào tất cả các nhiệm vụ theo lịch trình, cho dù chúng đang ẩn hay không.
Thật không may, nếu bạn chưa bao giờ tìm kiếm để xem những công việc gì đang chạy trên hệ thống của bạn thì việc tìm kiếm này sẽ mất kha khá thời gian.Nhưng bạn có thể chắc chắn tìm kiếm các tập tin nhiệm vụ đáng ngờ bất cứ khi nào bạn đang thực hiện một cuộc điều tra phần mềm độc hại.
Windows Event Logging có thể là một người bạn tốt của bạn. Bạn có thể thực hiện phép kiểm Object Access vào các thư mục nhiệm vụ đã nói ở trên và cảnh báo về hoạt động bất thường. Tất nhiên điều này sẽ cần phải có một số tinh chỉnh.
Cuối cùng, bạn có thể sử dụng một công cụ giám sát mạng (Network Monitor, Wireshark,…) để có thể phát hiện các trường hợp các máy chủ tạo ra các nhiệm vụ từ xa không mong đợi. Các nhiệm vụ từ xa là khá phổ biến khi các hacker hoặc các phần mềm độc hại nhúng tay vào.
Thùy Linh
