Hackeri pomocou a Windows Funkcia operačného systému na obchádzanie brány firewall a získavanie vytrvalosti

Nová technika, ktorú si osvojili útočníci, nachádza spôsoby, ako využiť službu BITS (Background Intelligent Transfer Service) od spoločnosti Microsoft na nasadenie škodlivých dát. Windows stroje tajne.

V roku 2020 nemocnice, dôchodcovské komunity a zdravotné strediská znášali bremeno neustále sa meniacej phishingovej kampane, ktorá distribuovala vlastné zadné vrátka, ako napríklad KEGTAP, čo v konečnom dôsledku pripravilo pôdu pre ransomvérové ​​útoky RYUK.

Nový výskum kybernetického forenzného oddelenia Mandiant spoločnosti FireEye však teraz odhalil predtým neznámy mechanizmus pretrvávania, ktorý ukazuje, že protivníci použili BITS na spustenie zadných vrátok.

Predstavený v Windows XP, BITS je súčasťou spoločnosti Microsoft Windows, ktorý využíva nevyužitú šírku pásma siete na uľahčenie asynchrónneho prenosu súborov medzi strojmi. To sa dosiahne vytvorením úlohy – kontajnera, ktorý obsahuje súbory na stiahnutie alebo nahranie.

BITS sa bežne používa na poskytovanie aktualizácií operačného systému klientom, ako aj prostredníctvom Windows Antivírusový skener Defender na získanie aktualizácií podpisov malvéru. Okrem vlastných produktov spoločnosti Microsoft túto službu využívajú aj iné aplikácie, ako napríklad Mozilla Firefox, aby mohli sťahovanie pokračovať na pozadí, aj keď je prehliadač zatvorený.

„Keď škodlivé aplikácie vytvárajú úlohy BITS, súbory sa sťahujú alebo nahrávajú v kontexte procesu hostiteľa služby,“ uviedli výskumníci FireEye. “Môže to byť užitočné pri obchádzaní brán firewall, ktoré môžu blokovať škodlivé alebo neznáme procesy, a pomáha to zakryť, ktorá aplikácia požadovala prenos.”

Konkrétne sa zistilo, že incidenty po kompromise zahŕňajúce infekcie Ryuk využili službu BITS na vytvorenie novej úlohy ako „aktualizáciu systému“, ktorá bola nakonfigurovaná na spustenie spustiteľného súboru s názvom „mail.exe“, čo následne spustilo zadné vrátka KEGTAP, po pokuse o stiahnutie neplatnej adresy URL.

“Zlomyseľná úloha BITS bola nastavená tak, aby sa pokúsila o prenos HTTP neexistujúceho súboru z lokálneho hostiteľa,” poznamenali výskumníci. “Keďže tento súbor by nikdy neexistoval, BITS by spustil chybový stav a spustil príkaz notify, ktorým bol v tomto prípade KEGTAP. .”

Nový mechanizmus je ďalšou pripomienkou toho, ako môžu útočníci využiť užitočný nástroj, akým je BITS, vo svoj vlastný prospech. Na pomoc pri reakcii na incidenty a forenznom vyšetrovaní výskumníci tiež sprístupnili pomôcku Python s názvom BitsParser, ktorej cieľom je analyzovať databázové súbory BITS a extrahovať informácie o úlohách a súboroch pre ďalšiu analýzu.