|
最近从国外安全媒体看到,黑客采用一种新技术找到了使用Microsoft的后台智能传输服务(BITS)的方法,可以在Windows计算机上秘密部署恶意有效负载。据悉,FireEye的Mandiant网络取证部门进行的新研究现在揭示了一个以前未知的持久性机制,表明攻击者利用BITS来启动后门程序。 
微软公司在Windows XP中开始引入的BITS是Microsoft Windows的组件,通过创建作业(包含要下载或上传的文件的容器)来实现利用空闲的网络带宽来促进机器之间文件的异步传输。BITS通常用于向客户端以及Windows Defender防病毒扫描程序提供操作系统更新,以获取恶意软件签名更新。除Microsoft自己的产品外,其他应用程序(例如Mozilla Firefox)也使用该服务,即使在浏览器关闭时使下载也可以在后台继续进行。
FireEye研究人员说:“当恶意应用程序创建BITS作业时,将在服务主机进程的上下文中下载或上传文件,对于逃避可能阻止恶意或未知进程的防火墙很有用,并且有助于掩盖具体应用程序请求传输。”具体来说,安全研究人员发现涉及Ryuk感染的危害后事件,就是利用BITS服务创建了一个“系统更新”新作业,该作业被配置为启动名为“ mail.exe”的可执行文件,进而触发了KEGTAP后门程序,尝试下载无效的URL。研究人员指出,恶意的BITS作业已设置为尝试从本地主机通过HTTP传输不存在的文件。由于该文件将永远不存在,BITS会触发错误状态并启动notify命令,在这种情况下为KEGTAP 。新机制再次提醒了黑客如何利用BITS这样的有用工具来发挥自己的优势。为了帮助事件响应和调查,研究人员还提供了一个名为BitsParser的Python实用程序,旨在解析BITS数据库文件并提取作业和文件信息以进行其他分析。
|
